La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).

Le tutele previste in materia di protezione dei dati personali seguono un approccio basato sul rischio, dovendo di conseguenza andare a rafforzare delle garanzie nel momento in cui l’attività può cagionare – o intrinsecamente cagiona – un impatto nei confronti di interessati c.d. “vulnerabili”.

Purtroppo, quella di fare richiesta di consensi privacy superflui o inutili per svolgere delle attività di trattamento di dati personali è una pratica tutt’ora fin troppo diffusa, facendo ricorso a copia-incolla poco o per nulla ragionati. Tutto questo ha però l’effetto di realizzare un duplice impatto negativo nei confronti sia degli interessati sia della capacità dell’organizzazione di essere e dimostrarsi conforme al GDPR.

La gestione di una situazione d’emergenza come un data breach è tutt’altro che semplice per un’organizzazione, ancor più se non ha approntato e diffuso correttamente una procedura a riguardo. La prima misura consiste dunque nel dotarsi di una procedura, ma non è sufficiente: è necessario che il personale che svolge le operazioni di trattamento sia stato adeguatamente sensibilizzato e abbia ricevuto un addestramento a riguardo, al fine di evitare che dalla loro impreparazione possa aggravarsi ancor più l’evento di violazione dei dati personali.

Si dice che il presupposto per gestire correttamente un data breach consista nell’avere un’organizzazione preparata. Ma come? In alcuni approcci viene ad esempio proposta una simulazione di incidente per testare la procedura e individuare eventuali punti critici.  Eppure, per quanto tale intervento possa avere un indubbio fascino si pone al di fuori dei margini della pianificazione bensì attiene maggiormente ad una fase di verifica e correzione. Insomma: può essere utile, ma deve quanto meno coordinarsi ad una corretta pianificazione preventiva e soprattutto all’assetto organizzativo predisposto dall’organizzazione.

Da quanto rilevato nel sondaggio condotto da Federprivacy, la maggior parte dei DPO si dicono preoccupati per la gestione delle situazioni di emergenza e in particolare per le minacce ransomware. L’ambito più ampio in cui tali evenienze si inseriscono è la sicurezza dei trattamenti, in rapporto al quale dunque è fondamentale comprendere qual è il ruolo svolto dal Data Protection Officer in modo tale che l’organizzazione non incorra in false o inesatte aspettative nei confronti di tale figura, circostanza che spesso dà luogo non solo a incomprensioni ma è causa di violazione diretta di alcune prescrizioni del GDPR.

Ecco il paradosso dei tempi correnti in ambito cyber: ad un’aumentata frequenza di attacchi informatici, si assiste ad un calo d’attenzione sul tema della gestione dei data breach e delle comunicazioni verso gli interessati. Si assiste infatti fin troppo spesso a informazioni rese tardivamente, del tutto mancanti o altrimenti incomplete, soprattutto nelle ipotesi di ransomware sempre più oggetto di cronaca.

Un attacco condotto tramite il ransomware Ragnar Locker ha colpito i sistemi del gruppo Energias de Portugal (EDP), uno dei più importanti gruppi industriali portoghesi e fra i maggiori produttori di energia elettrica in Europa e il quarto produttore mondiale di energia eolica, presente in 19 paesi, con oltre 11.500 dipendenti e 11 milioni di clienti. La nota informativa a tale riguardo fornita dal gruppo EDP chiarisce che non si è verificata alcuna compromissione della continuità operativa della fornitura energetica ma che ha riguardato solamente “alcuni servizi e attività” prontamente ripristinati e che è in corso di svolgimento un’analisi approfondita dell’incidente di sicurezza.