Data Breach: arriva il test di “self-assessment” UK

72 ore: è questo il tempo concesso dal GDPR al Titolare del trattamento per la notifica del data breach al Garante per la protezione dei dati personali[1]. È da precisare che occorre notificare unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.

Secondo un primo bilancio, è stato stimato che le notifiche di data breach rivolte al Garante da settembre 2018 al marzo 2019, ammontano a un totale di circa 946.

Sebbene il fenomeno dei “data breach” sia in aumento, non si tratta di un’assoluta novità: violazioni di questo genere erano già diffuse ben prima dell’avvento del GDPR, tuttavia solo all’indomani della sua piena esecutività i Titolari hanno iniziato ad acquisire una rinnovata attenzione per le responsabilità connesse alla protezione dei dati.

La violazione può ricomprendere diverse tipologie di danni, non solo di natura economica come ad esempio: la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza di informazioni soggette al segreto professionale, una perdita finanziaria, un danno alla reputazione.

Tra i recenti attacchi informatici ricordiamo ad esempio quello perpetrato da Anonymous ai danni di 30mila avvocati: gli hacker hanno violato gli archivi di alcuni Ordini professionali facendo emergere le vulnerabilità a cui sono esposte le informazioni.

Una domanda sorge spontanea: è possibile adottare strumenti utili ad evitare gli attacchi informatici, magari valutando preventivamente i rischi e le vulnerabilità interne alla propria organizzazione?

E’ proprio in tale contesto che entra in gioco l’ICO (l’Autorità garante inglese) che ha messo a disposizione dei Titolari  un test di “self-assessment” che gli stessi  possono utilizzare per valutare il livello di rischio della propria organizzazione, ed eventualmente contattare l’ICO.
Tale metodo è utile per valutare i rischi e le vulnerabilità interne all’organizzazione in modo da agire preventivamente per evitare attacchi informatici.

Il Privacy Impact Assessment e le metodologie utili a effettuare una corretta valutazione e prevenzione dei rischi saranno inoltre oggetto di uno dei seminari della nostra Academy “Strutturare un processo di assessment privacy e la valutazione d’impatto” organizzato da Euroconference e D&L Department, che si svolgerà in varie sedi d’Italia, a partire da Ancona il prossimo 15 ottobre.

 

 

[1] Secondo quanto prescritto dall’art. 33. par.1.
Proseguendo con la lettura dell’art 34, qualora invece la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare la violazione all’interessato senza ingiustificato ritardo.