Il Data Breach e il ruolo del Data Protection Officer nella gestione delle comunicazioni.
Pianificare una procedura di Data Breach e, successivamente, essere in grado di gestire correttamente una violazione di sicurezza che può compromettere dati personali e il corretto funzionamento dei sistemi informativi sono operazioni fondamentali per evitare di incorrere nel così detto “Panico d’organizzazione” che, altrimenti, rischia di causare un effetto paralizzante per l’intero evento concorso. Tutto questo può comportare una serie di conseguenze ed impatti negativi tanto per l’organizzazione quanto per gli interessati coinvolti.
Facciamo prima alcuni passi indietro.
Per “Data Breach” intendiamo una violazione di sicurezza che comporta, o accidentalmente o in modo illecito, la perdita, la modifica, l’accesso o la divulgazione non autorizzata ai dati personali.
Una violazione di questo tipo può compromettere la riservatezza, l’integrità e la disponibilità dei dati e il Titolare del Trattamento che subisce un Data Breach deve notificare, entro 72 ore dalla scoperta, l’avvenimento al Garante per la Protezione dei Dati Personali.
Per poter gestire correttamente un Data Breach è necessario avere un’organizzazione preparata. Non è raro, comunque, che emerga un “Panico d’organizzazione” nel momento in cui si viene a conoscenza della compromissione dei dati e/o dei sistemi informatici, producendo così comportamenti non programmati e soprattutto incoerenti con gli obiettivi di sicurezza e tutela degli interessati.
Il panico, alla pari della stupidità, pur essendo ponderabile con una misurazione certa, può essere influenzato da parte delle misure predisposte da parte dell’organizzazione. Se fosse altrimenti un fattore assolutamente imprevedibile o irresistibile ricadrebbe nel novero delle ipotesi di caso fortuito o di forza maggiore per cui non si può essere chiamati a rispondere per effetto di alcuna responsabilità organizzativa.
Chiarito ciò, viene da chiedersi se e fino a che punto il Data Protection Officer possa, o anzi: debba, essere coinvolto in questa attività preventiva e di gestione. E soprattutto quale ruolo è chiamato a svolgere in relazione alla gestione del fattore umano nel corso di un evento di data breach. Stante l’indipendenza funzionale, il DPO assume più un ruolo di facilitatore, non solo rendendo il proprio parere, ma anche affiancando l’organizzazione nelle comunicazioni con gli stakeholder interni (es. personale, referenti) ed esterni (interessati, autorità di controllo, media). Sempre con il limite di non incorrere, in ragione della posizione o dell’azione intrapresa, in un conflitto di interessi.
Andando sul piano operativo, nella gestione di una violazione di sicurezza assume un particolare rilievo il fattore della comunicazione interna ed esterna, la cui efficacia è misurabile con riferimento alla tempestività e alla completezza. Entrambi i criteri possono essere indicati dalla legge (ad esempio: NIS o GDPR), o altrimenti dalla volontà dell’organizzazione stessa (ad esempio: politiche e procedure), ma in entrambi i casi il DPO interviene tanto nello svolgimento dei propri compiti di consulenza che di sorveglianza. E un’incapacità o un ritardo nelle comunicazioni ha l’effetto di aumentare il panico effettivo, nonché percepito tanto dagli stakeholder interni che esterni.
Certamente, l’adozione di un modello organizzativo che assegni in modo chiaro ruoli e responsabilità è fondamentale, così come un’azione di formazione continua per aumentare la consapevolezza e la responsabilizzazione del personale interno. In questo ambito il GDPR prevede espressamente con l’art. 39.1 lett. b) che il DPO debba svolgere un’azione di controllo sulle politiche adottate per “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti”. Azione che comporta anche l’eventualità di indicare l’assenza delle stesse, oltre che la loro inadeguatezza tenendo conto del parametro dei rischi dei trattamenti.
Il coinvolgimento del DPO nella comunicazione esterna può inoltre assumere un valore differente nel caso sia svolta per adempiere agli obblighi normativi, quali la notifica all’autorità di controllo o la comunicazione verso gli interessati, o altrimenti concordata all’interno di un tavolo di gestione della crisi. Nel primo novero di esprime un parere da cui il titolare dovrà rendicontare le ragioni di una condotta difforme, mentre nel secondo si va a contemperare con gli altri consulenti strategici dell’organizzazione.
Premessa fondamentale è ovviamente che il DPO stesso abbia esso stesso per primo capacità di comunicazione. Soft skill che non solo è facilmente deducibile da GDPR, ma si può riscontrare ad esempio anche all’interno della norma di certificazione volontaria UNI 11697:2017.
Se avete dei dubbi non esitate a contattarci! Eco-Verde è una società di consulenza che offre attività di supporto, supervisione e revisione della documentazione e delle procedure aziendali che comportano il trattamento di dati personali per l’adeguamento ad una normativa in costante evoluzione, a seguito dell’entrata in vigore del GDPR.
🥚🐇Tutto lo staff di Eco-Verde augura alla gentile clientela una Buona Pasqua!🐇🥚
