Le rivelazioni dall’indagine condotta dalla procura di Milano e dal nucleo investigativo dei Carabinieri di Varese che hanno portato alla luce attività di acquisizione illecita di informazioni – riservate, sensibili e personali – e che, nelle ultime ore, stanno dominando il dibattito politico e pubblico italiano, non possono non far riflettere. L’Autorità Garante per la protezione dei dati personali ha costituito una task force interdipartimentale per individuare prontamente le attività da intraprendere e le maggiori garanzie a protezione delle banche dati. La task force si pone, tra l’altro, l’obiettivo di definire misure di sicurezza, tecniche e organizzative, adeguate riguardo agli accessi ai database da parte del personale autorizzato, ma anche al complesso delle operazioni svolte dagli incaricati della loro gestione e manutenzione. In attesa di ricevere nuovi aggiornamenti a riguardo, cosa deve sapere un’azienda e cosa può e deve fare in casi analoghi?
Prima di entrare nel merito, occorre far presente che, come è noto, ai sensi del Regolamento (UE) 2016/679 si definisce “violazione dei dati” (c.d. “Data Breach”) qualsiasi violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, che possa compromettere la riservatezza, l’integrità o la disponibilità dei dati personali.
In caso di Data Breach, vi sono specifici obblighi da rispettare.
- Indagini interne, contenimento e valutazione. Non appena se ne venga a conoscenza, è fondamentale identificare la violazione, valutarne la portata e l’impatto sui dati personali e comprenderne la causa in modo da identificare eventuali vulnerabilità da affrontare.
- Obblighi di Notifica.
- All’autorità Garante per la protezione dei dati. Le organizzazioni devono notificare la violazione all’Autorità Garante entro 72 ore dal momento in cui ne sono venute a conoscenza, a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone.
- Ai soggetti coinvolti. Se la violazione comporta un rischio elevato per le persone interessate, queste devono essere informate senza indebito ritardo.
- Registro delle violazioni. Mantenere una registrazione della violazione verificatasi, compresi i dettagli sulla sua natura, i suoi effetti e le azioni correttive adottate. La registrazione di una violazione non solo è richiesta dalla normativa vigente ma è fondamentale per la conformità aziendale e per gli audit successivi.
- Attuare le azioni correttive. Implementare e adottare misure correttive per migliorare la sicurezza dei dati e prevenire future violazioni, tra cui la revisione dei protocolli di sicurezza e attivare programmi di formazione dei dipendenti.
- Rivedere e aggiornare le politiche. Dopo aver affrontato la violazione, è fondamentale rivedere le politiche aziendali di protezione dei dati e i piani di risposta per assicurarsi che siano solidi ed efficaci.
- Monitoraggio continuo. Attivare il monitoraggio continuo dei sistemi di dati per rilevare e rispondere tempestivamente a qualsiasi altro incidente.
- Formazione. Vale la pena ricordare che tutte le azioni e le misure adottate non saranno mai del tutto efficaci se chi opera nel quotidiano non è adeguatamente formato.
È appena il caso di precisare che se un Data Breach si è verificato, eventuali misure già adottate dall’azienda non sono sufficienti e devono essere riviste e rafforzate. Anche a questo serve la procedura di Data Breach.
Come anticipato in premessa, le notizie recentemente emerse devono far riflettere. Le informazioni e i dati sono sempre di più “merce preziosa” e la sicurezza tecnica e organizzativa da applicare a tutela e protezione delle informazioni trattate è un tema fondamentale per le aziende. Rafforzare la struttura informatica e prevedere misure di sicurezza avanzate e in continuo aggiornamento non meritano più di essere considerate dei costi ma degli investimenti. Ne beneficerà il business e la reputazione aziendale.
Rassegna stampa: