NEWS

Data breach e il ruolo del Data Protection Officer nella gestione delle comunicazioni

Pianificare una procedura di data breach e poi essere in grado di gestire correttamente una violazione di sicurezza che può compromettere dati personali e la salute dei sistemi informativi è fondamentale per non incorrere in quel “panico di organizzazione che altrimenti rischia di ottenere effetti paralizzanti e finanche aggravare l’evento occorso. Con conseguenze e impatti negativi tanto per l’organizzazione quanto per gli interessati coinvolti.

Stefano Gazzella

(Nella foto: Stefano Gazzella, sarà speaker al Privacy Day Forum 2023 sul tema dei data breach)

Meglio prima fare alcuni passi indietro e ragionare su un fatto. Il panico, alla pari della stupidità, pur non essendo ponderabile con una misurazione certa può essere influenzato da parte delle misure predisposte da parte dell’organizzazione. Se fosse altrimenti un fattore assolutamente imprevedibile o irresistibile ricadrebbe nel novero delle ipotesi di caso fortuito o di forza maggiore per cui non si può essere chiamati a rispondere per effetto di alcuna responsabilità organizzativa.

Chiarito ciò, viene da chiedersi se e fino a che punto il Data Protection Officer possa – o anzi: debba - essere coinvolto in questa attività preventiva e di gestione. E soprattutto quale ruolo è chiamato a svolgere in relazione alla gestione del fattore umano nel corso di un evento di data breach. Stante l’indipendenza funzionale, il DPO assume più un ruolo di facilitatore non solo rendendo il proprio parere ma anche affiancando l’organizzazione nelle comunicazioni con gli stakeholder interni (es. personale, referenti) ed esterni (interessati, autorità di controllo, media). Sempre con il limite di non incorrere – in ragione della posizione o dell’azione intrapresa - in un conflitto di interessi.

Andando sul piano operativo, nella gestione di una violazione di sicurezza assume un particolare rilievo il fattore della comunicazione interna ed esterna, la cui efficacia è misurabile con riferimento alla tempestività e alla completezza. Entrambi i criteri possono essere indicati dalla legge (ad esempio: NIS o GDPR), o altrimenti dalla volontà dell’organizzazione stessa (ad esempio: politiche e procedure), ma in entrambi i casi il DPO interviene tanto nello svolgimento dei propri compiti di consulenza che di sorveglianza. E un’incapacità o un ritardo nelle comunicazioni ha l’effetto di aumentare il panico effettivo nonché percepito tanto dagli stakeholder interni che esterni.

Una procedura di data breach deve essere ben pensata

Certamente, l’adozione di un modello organizzativo che assegni in modo chiaro ruoli e responsabilità è fondamentale, così come un’azione di formazione continua per aumentare la consapevolezza e la responsabilizzazione del personale interno. In questo ambito il GDPR prevede espressamente con l’art. 39.1 lett. b) che il DPO debba svolgere un’azione di controllo sulle politiche adottate per “l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti”. Azione che comporta anche l’eventualità di indicare l’assenza delle stesse, oltre che la loro inadeguatezza tenendo conto del parametro dei rischi dei trattamenti.

Il coinvolgimento del DPO nella comunicazione esterna può inoltre assumere un valore differente nel caso sia svolta per adempiere agli obblighi normativi, quali la notifica all’autorità di controllo o la comunicazione verso gli interessati, o altrimenti concordata all’interno di un tavolo di gestione della crisi. Nel primo novero di esprime un parere da cui il titolare dovrà rendicontare le ragioni di una condotta difforme, mentre nel secondo si va a contemperare con gli altri consulenti strategici dell’organizzazione.

Premessa fondamentale è ovviamente che il DPO stesso abbia esso stesso per primo capacità di comunicazione. Soft skill che non solo è facilmente deducibile da GDPR, ma si può riscontrare ad esempio anche all’interno della norma di certificazione volontaria UNI 11697:2017.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Phishing: se il correntista che si fa sottrarre i soldi dal conto è un credulone la banca è esente da responsabilità
Next Ecco quali sono i posti dove non installare mai ‘Alexa’ per tutelare la vostra privacy

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy