Game of databreach(es) - Atto Secondo: Data handlers don't cry.

Data breach: Data handlers don't cry.

Come agire e reagire in caso di data breach? Forse è meglio pre-agire. E coinvolgere gli operatori/data handlers.

Ad esempio: approntare una procedura operativa è particolarmente utile. Approntarla bene, poi, è un elemento necessario per il rispetto degli obblighi di cui all'art. 33 (notifica all'Autorità di controllo) e 34 (comunicazione agli interessati) GDPR.

Destinatari di tale procedura sono i soggetti coinvolti dall'evento di violazione dei dati: tutti coloro che agiscono sotto l'autorità del Titolare e che dallo stesso sono (anzi: devono essere) di conseguenza autorizzati all'accesso ai dati da trattare nonché istruiti ai sensi dell'art. 29 GDPR.

Obiettivo della procedura, dal punto di vista della conformità agli artt. 33 e 34 GDPR, dovrà essere la produzione di un report minimo dell'incidente entro le 72 ore successive.



La maggior parte delle violazioni sono rilevate o dagli operatori o dal personale tecnico (es. CED aziendale o Responsabile IT). Entrambi tali categorie di soggetti andrebbero compiutamente istruiti sulle modalità di gestione dell'incidente informatico, ma avendo cura di distinguere:
  • le differenti competenze/conoscenze tecniche dei destinatari delle istruzioni;
  • i differenti ambiti di intervento e di autonomia nella gestione immediata dell'incidente da consentire;
per definire il flusso informativo e le azioni da svolgere (che fra l'altro, possono contenere il danno e dunque avere ricadute sulla sicurezza dei trattamenti).

Dal momento che la responsabilità (dis)organizzativa ricade comunque sul titolare del trattamento, il data handler non può essere reso vittima di istruzioni contraddittorie o incomprensibili. Per tale motivo è consigliabile un riesame periodico di tali istruzioni operative al fine di migliorarne l'efficacia (consentendo il raggiungimento dell'obiettivo di reportistica) o l'efficienza (disperdendo meno risorse: prima fra tutte, il tempo), coinvolgendo anche, nei limiti del possibile e tenuto conto del contesto, gli stessi operatori.

Essere GDPReady è...una procedura per gestire il data breach.

Commenti