Modello di valutazione del rischio da Data Breach

Come sappiamo, qualora occorra un Data Breach, il nuovo Regolamento UE 679/2016 prescrive, a carico del Titolare del Trattamento (ma anche del Responsabile esterno qualora la violazione avvenga presso di esso) degli obblighi stringenti, relativi alla comunicazione alla autorità di controllo e talvolta ai soggetti interessati dalla violazione.

Non sempre la comunicazione al Garante (e quindi di conseguenza la comunicazione agli interessati) è obbligatoria; si deve fare a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Occorre quindi stabilire il livello di rischio che la violazione dei dati personali induce (può indurre) a carico delle persone che sono state oggetto della violazione; una violazione dei dati personali può determinarsi da una molteplicità di eventi avversi, dalla perdita di un dispositivo mobile, dal furto di un asset IT, dalla penetrazione di una rete o di un servizio IT, dalla perdita di confidenzialità dei dati, da un incendio o allagamento che ha interessato un archivio o datacenter, sino al server o PC colpito da malware.

Data la molteplicità degli eventi avversi e le loro caratteristiche “mutevoli” a seconda del contesto, è molto complesso definire in modo appropriato e dimostrabile il reale livello di rischio. A tale scopo, ho predisposto un modello analitico di valutazione del rischio determinatosi a seguito di una violazione di dati personali.

Lo adotto sempre in ogni tipologia di data-breach, quando sono chiamato a valutare il singolo evento avverso.

Ricordo che ogni azienda deve aver gia predisposto le corrette procedure di gestione del data-breach, e (specialmente nelle organizzazioni più strutturate) definito una unità di crisi.

72 ore senza sapere cosa fare trascorrono molto velocemente.