Data breach e il ruolo del Data Protection Officer nella gestione delle comunicazioni
Pianificare una procedura di data breach e poi essere in grado di gestire correttamente una violazione di sicurezza che può compromettere dati personali e la salute dei sistemi informativi è fondamentale per non incorrere in quel “panico di organizzazione” che altrimenti rischia di ottenere effetti paralizzanti e finanche aggravare l’evento occorso. Con conseguenze e impatti negativi tanto per l’organizzazione quanto per gli interessati coinvolti.
(Nella foto: Stefano Gazzella, sarà speaker al Privacy Day Forum 2023 sul tema dei data breach)
Meglio prima fare alcuni passi indietro e ragionare su un fatto. Il panico, alla pari della stupidità, pur non essendo ponderabile con una misurazione certa può essere influenzato da parte delle misure predisposte da parte dell’organizzazione. Se fosse altrimenti un fattore assolutamente imprevedibile o irresistibile ricadrebbe nel novero delle ipotesi di caso fortuito o di forza maggiore per cui non si può essere chiamati a rispondere per effetto di alcuna responsabilità organizzativa.
Chiarito ciò, viene da chiedersi se e fino a che punto il Data Protection Officer possa – o anzi: debba - essere coinvolto in questa attività preventiva e di gestione. E soprattutto quale ruolo è chiamato a svolgere in relazione alla gestione del fattore umano nel corso di un evento di data breach. Stante l’indipendenza funzionale, il DPO assume più un ruolo di facilitatore non solo rendendo il proprio parere ma anche affiancando l’organizzazione nelle comunicazioni con gli stakeholder interni (es. personale, referenti) ed esterni (interessati, autorità di controllo, media). Sempre con il limite di non incorrere – in ragione della posizione o dell’azione intrapresa - in un conflitto di interessi.
Andando sul piano operativo, nella gestione di una violazione di sicurezza assume un particolare rilievo il fattore della comunicazione interna ed esterna, la cui efficacia è misurabile con riferimento alla tempestività e alla completezza. Entrambi i criteri possono essere indicati dalla legge (ad esempio: NIS o GDPR), o altrimenti dalla volontà dell’organizzazione stessa (ad esempio: politiche e procedure), ma in entrambi i casi il DPO interviene tanto nello svolgimento dei propri compiti di consulenza che di sorveglianza. E un’incapacità o un ritardo nelle comunicazioni ha l’effetto di aumentare il panico effettivo nonché percepito tanto dagli stakeholder interni che esterni.
Certamente, l’adozione di un modello organizzativo che assegni in modo chiaro ruoli e responsabilità è fondamentale, così come un’azione di formazione continua per aumentare la consapevolezza e la responsabilizzazione del personale interno. In questo ambito il GDPR prevede espressamente con l’art. 39.1 lett. b) che il DPO debba svolgere un’azione di controllo sulle politiche adottate per “l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti”. Azione che comporta anche l’eventualità di indicare l’assenza delle stesse, oltre che la loro inadeguatezza tenendo conto del parametro dei rischi dei trattamenti.
Il coinvolgimento del DPO nella comunicazione esterna può inoltre assumere un valore differente nel caso sia svolta per adempiere agli obblighi normativi, quali la notifica all’autorità di controllo o la comunicazione verso gli interessati, o altrimenti concordata all’interno di un tavolo di gestione della crisi. Nel primo novero di esprime un parere da cui il titolare dovrà rendicontare le ragioni di una condotta difforme, mentre nel secondo si va a contemperare con gli altri consulenti strategici dell’organizzazione.
Premessa fondamentale è ovviamente che il DPO stesso abbia esso stesso per primo capacità di comunicazione. Soft skill che non solo è facilmente deducibile da GDPR, ma si può riscontrare ad esempio anche all’interno della norma di certificazione volontaria UNI 11697:2017.
