Gestire un Data Breach

Ormai quasi tutti sanno cosa sia un data breach.

Pochi sanno che occorra una valida e predisposta procedura per la sua gestione.

Nelle 72 ore successive a quando se ne è avuta conoscenza, occorre valutare se effettuare la comunicazione all’Autorità di Controllo e agli interessati i cui dati sono stati oggetto di data breach.

In alcune tipologie di data breach, avremo un sistema informatico compromesso, dal quale un soggetto malintenzionato starà effettuando attività penalmente rilevanti; occorrerà quindi effettuare le attività di raccolta delle evidenze, adottando le riconosciute procedure di computer forensic.

Nella procedura di gestione del data breach occorrerà effettuare una seria analisi dell’evento, evidenziando il livello di rischio indotto sugli interessati dalla violazione dei dati personali, tramite un procedimento analitico documentato e dimostrabile a terzi. A tale scopo, ho predisposto un modello di valutazione del rischio relativo al data breach.

Nelle realtà medio-grandi consiglio la predisposizione di un “crisis team“, nel quale un D.P.O. sarà il punto di riferimento.

Segnalo che ogni evento data breach, anche se non necessita di segnalazione, deve essere registrato nel registro dei data breach.

In ogni caso si deve analizzare l’accaduto per adottare le necessarie misure correttive, onde ridurre la probabilità che l’evento avverso si ripresenti, magari in forma aggravata.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.