[CYBERTOOL] Gestione di un Data Breach: qualora si dovesse verificare una violazione dei dati personali, la tua azienda saprebbe cosa fare?

Attraverso i precedenti cybertool, relativi alla capacità dei dipendenti di un’azienda di riconoscere una cyber-minaccia e di gestire un cyber-attacco, ci si è posti l’obiettivo di incoraggiare la pianificazione di policy e strategie per poter individuare e contenere tempestivamente una violazione.

È innegabile, però, il crescente aumento di metodologie di attacco informatico sempre più sofisticate che, insieme alla disattenzione umana, non rendono la possibilità del verificarsi di un data breach del tutto evitabile.

Come procedere, quindi, in caso di una violazione dei dati personali? 

Quali comportamenti adottare? 

Quali valutazioni predisporre? Come motivare le proprie scelte? 

Un data breach è sempre una situazione delicata, tanto dal punto di vista organizzativo quanto emotivo.

Con questo articolo vogliamo condividere con i nostri lettori alcuni passaggi da tenere a mente per affrontare l’evento proattivamente e con salda resilienza.

Comunicare le anomalie 

Una violazione dei dati personali può è essere intenzionale, ma può derivare anche da un errore e/o da una negligenza. 

Può essere interna (provenendo da un soggetto inserito all’interno dell’azienda) o esterna, perché operata da un hacker. 

In tutti questi casi, si manifesta come un’anomalia, ossia un evento non consuetudinario che ha comportato la fuoriuscita di informazioni riservate. 

È di fondamentale importanza, quindi, che il Team Privacy ne venga messo a conoscenza nel minor tempo possibile al fine di scongiurare conseguenze negative e/o contenerle il più possibile. 

Svolgere un’attenta valutazione 

La prima azione che il Team Privacy deve necessariamente svolgere è valutare tutte le anomalie comunicate dai dipendenti e collaboratori aziendali. 

Infatti, non tutte le segnalazioni potrebbero rivelarsi dannose per la riservatezza dei dati personali e, pertanto, non sarà necessario procedere alla notifica al Garante Privacy. 

Il Team Privacy, quindi, deve necessariamente svolgere una valutazione della gravità dell’evento, coinvolgendo nella propria analisi i seguenti fattori: 

  • Il tipo di violazione; 
  • La natura e il volume dei dati personali; 
  • Le caratteristiche delle categorie di interessati coinvolti e il numero; 
  • La facilità di identificazione degli interessati coinvolti; 
  • La gravità delle conseguenze per gli interessati coinvolti. 

Notifica al Garante Privacy 

Entro 72 ore dalla conoscenza del fatto e senza ingiustificato ritardo, la violazione deve essere notificata all’Autorità Garante per la Protezione dei Dati Personali. 

La notifica al Garante Privacy non deve essere vista come un’attività gravosa per l’azienda. 

Al contrario, l’obbligo di notifica presenta dei vantaggi, quali ad esempio l’ottenimento di indicazioni su come implementare le misure di sicurezza oppure la necessità di comunicare la violazione agli interessati o, ancora, evitare l’applicazione di una possibile sanzione. 

Poiché il focus deve essere sempre la garanzia di un’adeguata tutela dei dati personali, la notifica costituisce uno strumento utile per adottare le opportune strategie e procedure. 

Comunicazioni agli interessati 

In caso di data breach, l’azienda è anche tenuta a comunicare l’avvenuta violazione ai soggetti interessati, riportando: 

  • La descrizione della natura della violazione; 
  • Il nome e i dati di contatto del DPO o di altro soggetto incaricato a fornire informazioni; 
  • La descrizione delle probabili conseguenze della violazione; 
  • L’indicazione delle misure adottate o di cui si propone l’adozione per affrontare le conseguenze della violazione. 

La comunicazione deve essere efficace, realizzata con un messaggio diretto, preciso, trasparente e completo attraverso canali liberi (è possibile, quindi, a mezzo mail, SMS, affissione sulla bacheca aziendale). 

Tuttavia, sussistono dei casi di esclusione, ovvero fattispecie in cui la comunicazione non è necessaria; in particolare, quando: 

  • Sono state applicate le misure tecniche e organizzative adeguate per proteggere i dati personali e le informazioni riservate; 
  • Sono state adottate le misure di sicurezza idonee per scongiurare ogni rischio; 
  • La comunicazione comporterebbe uno sforzo sproporzionato per contattare tutti gli interessati, laddove i dati di contatto siano andati perduti o non siano noti. 

Lo scopo del tool 

Sottoponendo questo tool, composto da 15 domande a risposta multipla, al Team Privacy (o ad un suo delegato), sarà possibile verificare l’adeguatezza delle procedure di gestione di un data breach. 

Gestione data breach

"*" indica i campi obbligatori

La tua azienda ha predisposto una procedura per la segnalazione di eventi sospetti che si possano qualificare come Data Breach?*
La tua azienda ha fornito ai propri dipendenti e collaboratori una casistica e degli elementi utili per identificare un ipotetico evento sospetto?*
Gli incidenti informatici vengono regolarmente documentati?*
siste un termine per notificare un Data Breach all'Autorità Garante per la Protezione dei Dati Personali?*
La notifica all'Autorità Garante per la protezione dei Dati Personali deve essere sempre effettuata?*
La DPIA e la Valutazione del grado di severità del Data Breach sono sostanzialmente la medesima valutazione?*
Nel documento dove vengono registrate le caratteristiche di un incidente informatico sono indicate anche le misure adottate per fronteggiare l'evento e quelle da predisporre per evitarne di simili e ulteriori?*
Se l'esito delle indagini informatiche si conclude con la non necessità di effettuare la notifica, cosa deve fare il Privacy Officer?*
In caso di data breach, deve esserne sempre data comunicazione agli interessati?*
In caso di violazione dei dati personali, la comunicazione agli interessati deve essere fatta...*
La comunicazione agli interessati deve essere...*
Esistono casi di esclusione dal dovere di comunicazione verso gli interessati?*
Tra gli elementi necessari per la valutazione del grado di serietà del data breach rientrano...*
La valutazione della gravità del data breach deve essere documentata?*
Le motivazioni delle scelte assunte dall'azienda in caso di Data Breach devono essere redicontate?*
Nome*

 

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.