Contenuto principale

Messaggio di avviso

hackerSulla gestione dei data breach c'è una conoscenza approfondita, ma limitata a pochi organismi. È quanto emerge da un'indagine internazionale svolta dalle Autorità per la protezione dei dati personali di 16 Paesi, tra cui l'Italia, e coordinata dall'Autorità neozelandese (Office of the Privacy Commissioner).

Considerata la mole di informazioni raccolte e conservate dai soggetti pubblici e privati, è inevitabile che in determinate circostanze si verifichino accessi, comunicazioni o acquisizioni di dati personali in forma non autorizzata. Per questi motivi, sottolinea l'indagine, l'approccio a queste violazioni di dati - in termini sia di segnalazione/notifica sia di adozione di misure atte a prevenire il ripetersi della violazione - riveste importanza fondamentale per le Autorità di protezione dati e per le persone i cui dati sono stati violati.

Lo Sweep ("indagine a tappeto"), realizzato ogni anno dal Global Privacy Enforcement Network-Gpen, nel 2019 ha preso in esame le modalità di gestione e reazione in caso di violazioni dei dati nei diversi Paesi. Sono stati somministrati 1.145 questionari a soggetti pubblici e privati. Le risposte puntuali sono state solo 258, il 21% .

Analizzati i dati, fra quelli positivi emerge che l'84% degli intervistati nei diversi Paesi hanno designato un'equipe o un gruppo per la gestione delle violazioni di dati nonché della ricezione delle relative segnalazioni.

Nel 75% dei casi le procedure prevedono fasi essenziali quali attività di contenimento, di valutazione e di analisi dei rischi associati. Nel 18% dei casi le risposte fornite in merito a tali procedure sono insufficienti, e ciò segnala la necessità di maggiore chiarezza rispetto alle politiche da seguire in modo da assicurare l'adozione di tutte le misure fondamentali per rispondere a una violazione dei dati.

Il 65% degli organismi dispone di procedure buone o eccellenti in caso di violazione dei dati al fine di prevenire quelle future. Per il rimanente 35% le procedure previste risultano insufficienti o non vengono specificate.

Gli organismi che hanno risposto di non avere politiche interne in caso di violazioni di dati hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati.

In 12 dei 16 Paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati. La quasi totalità degli organismi interpellati conosce il quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica. Cinque organismi, invece, hanno evidenziato scarsa conoscenza del quadro giuridico.

Il 45% circa degli organismi che hanno risposto allo Sweep hanno dichiarato di tenere registri aggiornati di tutte le violazioni (anche di quelle potenziali).