GDPR: la violazione informatica va denunciata.

Con il Nuovo Regolamento Europeo (REGOLAMENTO UE 2016/679) i nuovi obblighi che vengono introdotti hanno sempre maggiori punti di contatto con l'ambito della sicurezza informatica. Il mio convincimento è, tuttavia, che l'attenzione alla sicurezza dei dati non debba derivare da un obbligo di legge, ma dalla conoscenza e dalla consapevolezza!

Una delle novità più rilevanti riguarda l'obbligo di notificare al Garante la violazione dei propri sistemi informatici (data breach); in alcuni casi questo obbligo scatta anche nei confronti di tutti gli interessati.

Cosa deve fare una azienda che ha subito un data breach (violazione dei dati)?

Innanzitutto la segnalazione deve pervenire entro 72 ore dall'evento: la mancata comunicazione comporta anche sanzioni penali!

La comunicazione deve contenere:

1. La natura della violazione dei dati personali comprese le categorie ed il numero approssimativo di interessati e le categorie ed il numero approssimativo di registrazioni dei dati personali in questione. 

Questo presuppone, evidentemente, la presenza delle competenze informatiche adeguate, degli strumenti necessari o, in alternativa, di un servizio esterno qualificato. E' necessaria anche una Policy Aziendale che consenta di conoscere in ogni momento il numero degli interessati dei quali vengono trattati i dati e il numero di registrazioni che li riguardano.

2. Il nome e i dati di contatto del responsabile della protezione dei dati o di altro contatto.

In caso di presenza del Data Protection Officer è lui che diventa il punto di contatto col garante.

3. Le conseguenze prevedibili di tale violazione.

Come anticipato prima, non dovrebbe essere un obbligo di legge che ci costringe a verificare quali siano i rischi connessi al trattamento di dati. La conoscenza dei rischi e dei comportamenti a rischio, è importantissima al fine di adottare le misure necessarie.

4. La descrizione delle misure adottate per rimediare alla violazione o di quelle che si intende adottare. Inoltre la indicazione delle misure adottate o da adottare per rimediare agli effetti negativi di tale violazione.

Anche in questo caso si presuppone che ci siano in azienda le competenze necessarie. In ogni caso, identificare quali siano le contromisure da adottare a seguito di evento dannoso, in un momento di piena crisi, con poco tempo a disposizione e sotto il controllo del Garante potrebbe diventare molto difficile se non impossibile. Per questi motivi è sempre consigliabile pensarci prima: decidere quali misure di sicurezza migliorare  e quali interventi potrebbero essere adottati nel tempo.

La questione del rischio di sottrazione di dati in una azienda è, innanzitutto, una questione di sopravvivenza del proprio business.

Sono innumerevoli i casi di aziende note, ma anche sconosciute, che hanno subito violazioni e sottrazione di dati. Moltissimi studi evidenziano come 1/3 delle aziende, nel mondo, che hanno subito violazioni, hanno cessato la loro attività entro un anno dall'evento negativo. Come sempre in questo ambito la prevenzione è meglio della cura! I danni alla operatività di una azienda che dovesse subire una violazione sarebbe difficile calcolarli preventivamente: danni economici!  Posso però dirvi che i costi per la prevenzione, intendendo la adozione delle misure necessarie a proteggere i dati e di una policy aziendale adeguata, sono facilmente calcolabili e sono di molto inferiori a quanto si pensi. 

Oggi subire una violazione o una perdita di dati non è una possibilità o eventualita, ma una certezza matematica. E' un po' come buttarsi senza paracadute: fino a che non ti schianti al suolo puoi dire che sta andando tutto bene. Quello che posso fare per te è fornirti gli strumenti per valutare il tuo livello di rischio e scegliere il paracadute che ti salverà la vita. Se vuoi una valutazione dei rischi che corre la tua azienda compila il modulo di contatto qui sotto. La richiesta non ti costerà nulla ma avrà, un giorno, un valore che oggi non puoi neanche immaginare.