Game of databreach(es) - Atto Terzo: Take on DPS

Data breach: Take on DPS.

Spesso una piccola o piccolissima realtà con bassa complessità delle attività di trattamento ha le seguenti caratteristiche: raramente si hanno procedure interne, i trattamenti sono svolti da un ufficio di poche persone, la fornitura dei servizi IT è affidata in outsourcing, non sono presenti sistemi di controllo degli accessi. Insomma: si è certamente ben al di fuori delle ipotesi di DPIA.



Può sembrare che queste piccole realtà possano trovare più difficoltà nel raggiungere una conformità relativa alla corretta gestione degli eventi di data breach. Soprattutto c'è una diffusa resistenza mentale ad accettare gli obblighi del GDPR, preferendo il canto delle sirene di chi predica esenzioni. Nel caso dell'obbligo di notifica, sembra che il motivo sia una pretesa e aprioristica valutazione di insussistenza di un rischio significativo per gli interessati in ragione della dimensione contenuta dell'attività.

Questo è un errore sotto varie prospettive.
Prima di tutto: il rischio va valutato su diritti e libertà degli interessati, prescindendo dalla dimensione di business che può aver rilevanza però, ad esempio, nella valutazione di adeguatezza delle misure di sicurezza.

Dopodiché, si consideri anche che una piccola organizzazione difficilmente ha dei remediation plan efficaci per contenere il danno generato, e dunque ancor più dovrebbe avere un obbligo di notifica e/o comunicazione nei confronti degli interessati.

Ulteriormente, non bisogna dimenticare che è data breach anche una violazione di dati personali tenuti in formato non digitale, e dunque per realizzarsi non necessita del presupposto di un'infrastruttura informatica particolarmente complessa.

Per il consulente, partire dalla piccola, o piccolissima realtà, è un utile modello di esercizio per la ricerca di quei comuni denominatori che poi possono essere declinati (e strutturati) anche in organizzazioni complesse.

Per la piccola, o piccolissima realtà, è utile invece affidarsi ad un consulente che possa fornire un servizio di advisoring esterno, dal momento che, in ragione della dimensione limitata di attività, non è configurabile né la designazione di un Data Protection Officer né di un designato interno che assuma il ruolo di Privacy Manager

Piuttosto è preferibile affidarsi ad un Data Protection Specialist che coniughi conoscenze legali e capacità tecniche e che sia in grado di fornire assistenza anche nella gestione di un data breach nelle fasi relative a:

  • analisi dell'incidente;
  • compilazione dell'eventuale notifica e comunicazione agli interessati;
  • pianificazione e predisposizione degli interventi correttivi;
  • verifiche periodiche di sicurezza.


Essere GDPReady è (a volte)... affidarsi ad un DPS per i data breach.

Commenti