Dopo aver analizzato cosa intendiamo per data breach nello scorso articolo, descrivendo degli esempi pratici, ora analizzeremo quelle che sono le possibili sanzioni e come evitarle.
1. DATA BREACH, QUALI SONO LE SANZIONI
In caso di data breach, la prima domanda che è necessaria porsi è: cosa posso fare nel caso in cui mi accorgo di essere stato soggetto a una violazione dei miei dati personali?
Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza la violazione, deve notificarla al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
In caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro ovvero il 2% del fatturato annuo della società.
Mentre, in caso di mancata notifica si configura anche l’assenza di adeguate misure di sicurezza, per cui si possono cumulare due distinte sanzioni.
Per limitare la possibilità di incorrere in un data breach occorre effettuare una valutazione del rischio (per rischio si intendono dei possibili effetti dannosi sui dir itti e le libertà delle persone coinvolte).
Il rischio viene valutato tenendo in considerazione:
- la gravità: cioè la rilevanza degli effetti dannosi
- la probabilità: il grado di possibilità che si verifichino gli effetti.
Ai fini della identificazione dei valori da attribuire ai due parametri si considerano i seguenti fattori:
- tipo di violazione (violazione della riservatezza, violazione dell’integrità, violazione della disponibilità);
- natura, sensibilità e volume dei dati personali;
- facilità nella identificazione degli interessati;
- gravità delle conseguenze per gli interessati;
- particolarità degli interessati (es. minori);
- particolarità dei responsabili del trattamento (es. personale sanitario);
- numero degli interessati.
È bene sempre tenere a mente che: la garanzia della sicurezza di un sistema informatico non è raggiungibile al 100%.
Alle aziende, infatti, viene richiesto dallo stesso legislatore di scegliere in autonomia un adeguato sistema di sicurezza in relazione alla riservatezza, tipologia e volume dei dati trattati.
Di conseguenza, per prevenire un data breach bisogna lavorare bene nelle fasi iniziali del processo di individuazione delle misure di protezione adeguate.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro.
Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
2. DATA BREACH, COME EVITARE LE SANZIONI
Uno dei principi maggiormente legati al testo di matrice comunitaria è quello di accountability o “responsabilizzazione” che si declina nel favorire l’adozione di determinati comportamenti volti a concretizzare l’attuazione di misure finalizzate ad assicurare la completa applicazione del regolamento.
I possibili aspetti negativi, citati nel regolamento, necessiteranno di una approfondita analisi e di un idoneo processo di valutazione i quali dovranno essere effettuati prendendo in esame: i rischi noti o riscontrabili e le misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per temperare il verificarsi di detti rischi.
Per quel che concerne la sicurezza del trattamento dovranno necessariamente essere tenuti in debita considerazione determinati aspetti, quali:
- la disponibilità;
- l’integrità;
- la riservatezza.
Nel rispetto del principio di accountability le misure per la gestione del rischio dovranno prevedere e considerare una serie di profili, chi scrive si riferisce schematicamente nel concreto a:
- misure organizzative;
- misure tecnologiche;
- qualità dei dati;
- cifratura;
- conservazione adeguata;
- perdita di riservatezza dei dati personali protetti dal segreto professionale;
- perdita finanziaria;
- anonimizzazione dei dati.
Uno degli aspetti che maggiormente dovrebbero essere implementati attiene alla data governance o governance dei dati.
Con tale termine si intende un insieme di practiche, policy, definizioni di ruolo nell’assetto societario, nei processi e nelle misure che hanno il precipuo di fine di garantire una certa efficienza ed efficacia nell’utilizzo dei dati, un concetto di data management che permette di assicurare un’alta qualità dei dati stessi durante tutto il ciclo di vita aziendale.
La governance dei dati comprende le persone, i processi e la tecnologia informatica necessari per creare una gestione coerente e corretta dei dati di un’organizzazione in tutta l’azienda.
Soprattutto nell’uso delle piattaforme online, come Facebook, Instagram, LinkedIn ecc., il rischio risulta essere sempre più maggiore.
Fornisce le basi, la strategia e la struttura necessarie per garantire che i dati vengano gestiti come una risorsa e trasformati in informazioni significative.
Tale strategia costituirà la base del framework di governance dei dati dell’azienda.
Gli obiettivi possono essere definiti a tutti i livelli dell’impresa e ciò può aiutare nell’accettazione dei processi da parte di coloro che li useranno, tra gli obiettivi che si mira a raggiungere con detta strategia figurano:
- l’accrescimento di coerenza e fiducia nel processo decisionale;
- la riduzione del rischio di sanzioni;
- il miglioramento del livello di sicurezza dei dati, anche definendo e verificando i requisiti per le politiche di distribuzione dei dati;
- la massimizzazione del potenziale di profitto correlato a una equa gestione dei dati stessi;
- la responsabilizzazione per quel che attiene la qualità delle informazioni;
- il consentire una migliore pianificazione da parte del personale di vigilanza;
- la riduzione al minimo o eliminazione di rilavorazioni dei dati;
- l’ottimizzazione dell’efficacia del personale;
- la fissazione delle basi di prestazione del processo di modo da consentire un miglioramento.
Questi obiettivi sono per l’appunto realizzabili attraverso l’implementazione di programmi di governance dei dati o iniziative che utilizzano tecniche di Change management.
Per concludere, la governance dei dati è una vera e propria disciplina di controllo di qualità per la valutazione, la gestione, l’utilizzo, il miglioramento, il monitoraggio, la manutenzione e la protezione delle informazioni organizzative, un vero e proprio sistema che afferisce diritti decisionali e responsabilità per i processi relativi alle informazioni, eseguiti secondo modelli concordati che descrivono e prescrivono chi possa intraprendere quali azioni, con quali informazioni , quando e in quali circostanze, usando quali metodi.
In secondo luogo, è altamente consigliata la costituzione di un apposito team con il precipuo scopo di monitorare e gestire situazione afferenti al tema data protection, detto team dovrà altresì occuparsi della c.d. DPIA (Data Protection Impact Assessment) ovvero la “valutazione di impatto del trattamento”, onere esplicitamente posto in carico al titolare del trattamento dall’art. 35 GDPR, uno strumento finalizzato a potenziare la trasparenza e la protezione durante le fasi di trattamento dei dati personali.
La prevenzione di situazioni integranti gli estremi di un data breach attiene inoltre alla combinazione di altri fattori strettamente correlati tra loro:
- l’adozione di pratiche di risposta alle violazioni;
- il costante monitoraggio delle attività e dei rischi connessi alle stesse
- la costante formazione dei dipendenti così come previsto dal regolamento nonché una precisa, chiara e confacente continuità di istruzione da impartire al personale;
- la tenuta di un registro delle attività nonché di un registro apposito per i casi di data breach verificatisi di modo che si possa valutare la bontà delle scelte operate per quel che concerne la governance societaria, i protocolli adottati, la tempestività di risposta dell’azienda al verificarsi di simili situazioni e ovviamente anche affinché si possano prevenire avvenimenti della stessa o di similare natura.
Per avere una guida sicura per metterti al riparo da rischi e sanzioni in cui puoi incorrere in caso di data breach, contattaci subito scrivendoci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo seguente.