Data Protection Officer: come evitare il mal di data breach
La gestione di una situazione d’emergenza come un data breach è tutt’altro che semplice per un’organizzazione, ancor più se non ha approntato e diffuso correttamente una procedura a riguardo. La prima misura consiste dunque nel dotarsi di una procedura, ma non è sufficiente: è necessario che il personale che svolge le operazioni di trattamento sia stato adeguatamente sensibilizzato e abbia ricevuto un addestramento a riguardo, al fine di evitare che dalla loro impreparazione possa aggravarsi ancor più l’evento di violazione dei dati personali.
Federprivacy ha organizzato un corso operativo su pianificazione e gestione prima, durante e dopo un data breach
Occorre ricordare infatti che dotarsi della capacità di affrontare in modo corretto una violazione di dati personali non costituisce solamente un elemento di conformità normativa ma si va a collocare in un più ampio ambito di gestione degli incidenti di sicurezza.
E se una buona attività di pianificazione può fare in modo di prevenire una serie di criticità correlate ad un livello di stress che può anche arrivare alla soglia del burnout, l’azione del DPO è richiesta per rinforzare tutti i presidi predisposti.
Per fare ciò è necessario lo svolgimento sinergico dei compiti di consulenza e informazione e di sorveglianza, in modo tale che la procedura venga impostata in modo corretto e sia successivamente oggetto di verifica ai fini di un eventuale riesame ed aggiornamento. Entrambi gli aspetti sono necessari perché la procedura si possa raccordare con il sistema di gestione adottato, sia in grado di soddisfare i criteri indicati dalla norma e abbia un’efficace attuazione all’interno di un ciclo di miglioramento continuo.
Una volta individuate le attività di rilevazione, valutazione e documentazione della violazione all’interno del processo di gestione del data breach, il Data Protection Officer può individuare e valutare – anche con lo svolgimento di audit, quando necessario – tutte le eventuali criticità che possano compromettere efficacia, tempestività o altrimenti completezza di azione.
I più comuni problemi di coordinamento operativo consistono spesso in una mancata definizione dei flussi informativi, nell’indisponibilità di strumenti adeguati per i soggetti che intervengono nella procedura, nella poca chiarezza delle istruzioni fornite o in una non corretta attribuzione di ruoli o responsabilità.
Le attività di rilevazione anomalie ed eventi e di registrazione documentale pongono un’esigenza primaria di coordinamento di risorse tecnologiche ed umane, e di conseguenza entrambe devono essere attenzionate. Nel caso invece delle attività collegate alle fasi di valutazione e decisione è generalmente riscontrabile una prevalenza significativa del fattore umano su quello tecnologico, per cui occorre riservare una maggiore attenzione ad aspetti quali la gestione delle comunicazioni interne, l’empowerment dei decisori o la diffusione della procedura ad esempio.
Nella maggior parte dei casi la risoluzione transita per l’attuazione delle politiche di sensibilizzazione e formazione, che possono essere sollecitate dal DPO il cui ufficio può anche provvedere direttamente ad un’azione informativa a riguardo diretta al personale che svolge le attività di trattamento.