Game of databreach(es) - Atto Quarto: The final countdown

 Data breach: The final countdown.

Analisi, report, notifiche e comunicazioni: come organizzare il timing della violazione?
Buona prassi vuole che si definisca il flusso informativo dell'evento di violazione.



La consapevolezza dell'operatore è elemento essenziale, che si compone di sensibilizzazione, formazione e addestramento. In quanto agente più prossimo all'evento di violazione, è bene che sia fornito non soltanto di istruzioni, ma anche di una modulistica che indichi già alcuni campi da compilare al fine di consentire una valutazione tempestiva (entro 72 ore dalla rilevazione) al titolare del trattamento, ovverosia:
  1. data e ora della rilevazione;
  2. descrizione sintetica dell'evento;
  3. indicazione dei dati compromessi.
Ovviamente il punto 2 può essere più o meno "guidato" dalle istruzioni, che potrebbero già suggerire alcuni eventi "standard", in forma generica (perdita di disponibilità, confidenzialità o integrità del dato) o maggiormente specifica (blocco dei sistemi informatici, destinatario e-mail erroneo, smarrimento fascicolo, furto dispositivo mobile, etc.).

Il punto 3 dovrebbe consentire di avere un'indicazione sia qualitativa che quantitativa dei dati compromessi, e a tal scopo potrebbe essere anche qui utile predisporre una rosa di opzioni "standard" (ad es. dati clienti/prospect; dati fornitori; dati dipendenti; dati pazienti etc...) all'interno del modulo rivolto all'operatore.

Il secondo passaggio consiste nell'analisi e valutazione dell'incidente, e pur coinvolgendo l'operatore (come fonte delle informazioni rilevanti) ha un diverso responsabile ovverosia un soggetto preposto alla valutazione di quanto accaduto, sia sul fronte della sicurezza dell'informazione (e dunque: che vi sia stato un effettivo data breach) che sul fronte dei possibili danni per l'interessato (e dunque: circa la gravità del data breach). In questo caso è utile una figura come il DPS, che sappia offrire (o ottenere) un'analisi dal punto di vista tecnico e giuridico, consentendo così al titolare di accedere ad un report di evento quanto più completo possibile e che precisi, ad esempio:
  • il numero di interessati cui si riferiscono i dati compromessi e il numero dei dati compromessi;
  • le contromisure adottate e l’efficacia di contenimento delle contromisure (facendo riferimento al Registro dei trattamenti);
  • il rischio che il dato sia stato oggetto di diffusione e/o che sia stato compromesso in modo irreversibile.
Nel momento in cui il titolare può accedere alle informazioni minime esposte, è in grado di decidere in ordine all'azione da intraprendere, e dunque:
  • se non riscontra un rischio probabile per gli interessati, all'annotazione della violazione nel registro interno (art. 33.5 GDPR);
  • se riscontra un rischio probabile per gli interessati, all'annotazione della violazione nel registro interno e alla notifica al Garante (art. 33 GDPR);
  • se riscontra un rischio elevato per gli interessati, all'annotazione della violazione nel registro interno, alla notifica al Garante e alla comunicazione agli interessati coinvolti (art. 34 GDPR).
Definita così lo scheletro essenziale di una procedura di gestione del data breach, ciascuna organizzazione dovrà dunque adeguarla alla propria dimensione al fine di garantire la tempestività della notifica in quanto l'eventuale ritardo (sia della notifica che delle informazioni complete) deve comunque essere giustificato ed è ammesso pertanto come eccezione, come ribadito dal WP250 - Linee guida sulla notifica delle violazioni dei dati personali.

Essere GDPReady è...tempestività nella gestione del data breach.

Commenti