Ormai quasi tutti sanno cosa sia un data breach.
Pochi sanno che occorra una valida e predisposta procedura per la sua gestione.
Nelle 72 ore successive a quando se ne è avuta conoscenza, occorre valutare se effettuare la comunicazione all’Autorità di Controllo e agli interessati i cui dati sono stati oggetto di data breach.
In alcune tipologie di data breach, avremo un sistema informatico compromesso, dal quale un soggetto malintenzionato starà effettuando attività penalmente rilevanti; occorrerà quindi effettuare le attività di raccolta delle evidenze, adottando le riconosciute procedure di computer forensic.
Nella procedura di gestione del data breach occorrerà effettuare una seria analisi dell’evento, evidenziando il livello di rischio indotto sugli interessati dalla violazione dei dati personali, tramite un procedimento analitico documentato e dimostrabile a terzi. A tale scopo, ho predisposto un modello di valutazione del rischio relativo al data breach.
Nelle realtà medio-grandi consiglio la predisposizione di un “crisis team“, nel quale un D.P.O. sarà il punto di riferimento.
Segnalo che ogni evento data breach, anche se non necessita di segnalazione, deve essere registrato nel registro dei data breach.
In ogni caso si deve analizzare l’accaduto per adottare le necessarie misure correttive, onde ridurre la probabilità che l’evento avverso si ripresenti, magari in forma aggravata.