La DPC (Data Protection Commission) ha segnalato alcune problematiche relative alla procedura di notifica di data breach attraverso una nota informativa.

L’art. 4 del GDPR definisce i data breaches come “violazione dei dati personali”, ossia la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Nel documento della DPC viene fornita una panoramica sulle tendenze osservate, riguardo il regime obbligatorio di segnalazioni di violazioni di dati personali introdotto dal GDPR.

Dall’introduzione del nuovo regime di segnalazione delle violazioni, l’unità di valutazione delle violazioni del DPC ha intrapreso un’analisi delle notifiche di violazione ricevute (5,818 di cui il 4% non erano da considerarsi data breach), sia dal settore pubblico che privato, comprese quelle notificate dal settore finanziario, assicurativo e sanitario, dall’industria delle telecomunicazioni e le forze dell’ordine.

Le difficoltà rilevata in caso di data breach

Durante lo svolgimento delle revisioni e dall’elaborazione delle notifiche dei data breach, sono emerse alcune tendenze e criticità:

• notifiche in ritardo
• difficoltà nella valutazione del rischio
• mancata comunicazione della violazione agli interessati
• ripetizione delle notifiche di violazione
• segnalazione inadeguata

Come operare prima che si verifichi il data breach

La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l’azienda dispone e necessita per garantirsi un adeguata capacità concorrenziale nel breve, medio e lungo periodo.

La fase preliminare è il momento di maggior importanza: infatti, se ben affrontata, consente di reagire e mitigare le conseguenze del data breach con la massima efficienza.

Tra le varie azioni da intraprendere, è importante, forse meglio dire necessario, costituire un “team per la gestione del data breach”, che deve poter contare almeno sulle seguenti competenze: GDPR, IT, Marketing e Comunicazione, Finance, Responsabili del Trattamento (se coinvolti), informatica forense.

Affinché il processo non si riduca ad un formalismo sterile presente nella documentazione aziendale, è necessario creare all’interno dell’azienda un livello di formazione e consapevolezza adeguati tra le persone autorizzate al trattamento e prevedere un processo di segnalazione specifico al Comitato data breach da parte dei dipendenti e dei processors.

La formazione può essere erogata attraverso corsi ed aggiornamenti periodici, policy sul trattamento dei dati personali adeguati, nonché sulle modalità di utilizzo della strumentazione informatica. Ad esempio in tema di corsi di informatica forense, BIT4LAW può essere il referente per la formazione del personale addetto alla gestione del data breach.

Le conseguenze dei data breach

A seguito del verificarsi di un data breach in azienda, la sanzione per violazione prevista dal GDPR non è che l’inizio di un processo che potrebbe risolversi nelle circostanze più estreme con la fine del ciclo di vita aziendale.

Tra le caratteristiche principali del Regolamento, la parte sanzionatoria occupa un posto di enorme rilievo, infatti i costi sanzionatori in caso di mancato rispetto delle procedure di notifica della violazione si applica una sanzione amministrativa. In caso di mancata notifica si configura anche l’assenza di adeguate misure di sicurezza, per cui si cumulano due distinte sanzioni.