Come sappiamo, qualora occorra un Data Breach, il nuovo Regolamento UE 679/2016 prescrive, a carico del Titolare del Trattamento (ma anche del Responsabile esterno qualora la violazione avvenga presso di esso) degli obblighi stringenti, relativi alla comunicazione alla autorità di controllo e talvolta ai soggetti interessati dalla violazione.
Non sempre la comunicazione al Garante (e quindi di conseguenza la comunicazione agli interessati) è obbligatoria; non si deve fare nei casi in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Occorre quindi stabilire il livello di rischio – e quindi la conseguente gravità – che la violazione dei dati personali determina (o potrebbe determinare) a carico delle persone i cui dati personali sono stati oggetto della violazione.
Una violazione dei dati personali può determinarsi da una molteplicità di eventi avversi, dalla perdita di un dispositivo mobile, dal furto di un asset IT, dalla penetrazione di una rete o di un servizio IT, dalla perdita di confidenzialità dei dati, da un incendio o allagamento che ha interessato un archivio o datacenter, sino al server, PC o device colpito da malware.
Data la molteplicità degli eventi avversi e le loro “mutevoli” caratteristiche a seconda del contesto, è molto complesso definire in modo appropriato e dimostrabile il reale livello di rischio. A tale scopo, abbiamo predisposto un modello analitico di valutazione del rischio, determinatosi a seguito di una specifica violazione di dati personali.
Lo adottiamo sempre in ogni tipologia di data-breach, quando siamo chiamati a valutare il singolo evento avverso, onde fornire, al titolare del trattamento, le basi per poter decidere con consapevolezza sulle attività da effettuarsi.
Ricordo che ogni azienda deve aver gia predisposto le corrette procedure di gestione del data-breach, e (specialmente nelle organizzazioni più strutturate) definito una unità di crisi.
72 ore senza sapere cosa fare trascorrono molto velocemente.