Sulla gestione dei data breach c’è una conoscenza approfondita, ma limitata a pochi organismi. È quanto emerge dall’indagine internazionale svolta dalle Autorità per la protezione dei dati personali di 16 paesi, tra cui l’Italia, e coordinata dall’Autorità neozelandese (Office of the Privacy Commissioner). L‘indagine “a tappeto” o Sweep, che viene annualmente condotta dal Gpen (Global Privacy Enforcement Network), ha preso quest’anno in esame le modalità di gestione e reazione in caso di violazioni dei dati nei diversi paesi. Come informa il Garante Privacy italiano, sono stati somministrati questionari a 1145 soggetti, tra pubblici e privati, ma solo il 21% (258) ha fornito risposte puntuali forse per il timore che, nei paesi dove la segnalazione dei data breach è obbligatoria, i Garanti nazionali possano avviare attività di accertamento e sanzione sulla base delle risposte fornite.
Considerata la mole di informazioni raccolte e conservate dai soggetti pubblici e privati, è inevitabile che in determinate circostanze si verifichino accessi, comunicazioni o acquisizioni di dati personali in forma non autorizzata. Per questi motivi, sottolinea l’indagine, l’approccio a queste violazioni di dati – in termini sia di segnalazione/notifica sia di adozione di misure atte a prevenire il ripetersi della violazione – riveste importanza fondamentale per le Autorità di protezione dati e per le persone i cui dati sono stati violati.
Alla luce dei risultati emersi, le singole Autorità dovranno ora valutare quali interventi si rendano necessari per migliorare il controllo degli utenti sui dati personali che li riguardano.
I risultati dello Sweep
Fra i dati positivi emerge che l’84% dei soggetti intervistati nei diversi paesi ha designato un’equipe o un gruppo incaricati della gestione delle violazioni di dati nonché della ricezione delle relative segnalazioni.
Nel 75% dei casi le procedure prevedono fasi essenziali quali attività di contenimento, di valutazione e di analisi dei rischi associati. Nel 18% dei casi le risposte fornite in merito a tali procedure sono insufficienti, e ciò segnala la necessità di maggiore chiarezza rispetto alle politiche da seguire in modo da assicurare l’adozione di tutte le misure fondamentali per rispondere a una violazione dei dati.
Il 65% degli organismi dispone di procedure buone o eccellenti in caso di violazione dei dati al fine di prevenire quelle future. Per il rimanente 35% le procedure previste risultano insufficienti o non vengono specificate.
Gli organismi che hanno risposto di non avere politiche interne in caso di violazioni di dati hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati, ove necessario. In un caso, l’organismo ha descritto il sistema di valutazione delle violazioni, spiegando di avere implementato un meccanismo di rating a tre colori (rosso, arancio, verde – RAG); il rating tiene conto del numero di dati violati, della sensibilità delle informazioni, del disagio causato, del contenimento o non-contenimento della violazione, della possibilità di recuperare i dati e dell’eventuale applicazione di dispositivi di cifratura.
In 12 dei 16 paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati. La quasi totalità degli organismi interpellati conosce il quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica. Solo cinque organismi hanno evidenziato una scarsa conoscenza del quadro giuridico.
La maggioranza di essi giudica utili le indicazioni fornite dalle rispettive Autorità di protezione dei dati in materia di notifica delle violazioni di dati. La scarsità di risorse ha tuttavia impedito ai soggetti di minori dimensioni di mettere a punto tecniche e procedure sofisticate per la gestione delle violazioni.
Il 45% circa degli organismi che hanno risposto allo Sweep hanno dichiarato di tenere registri aggiornati di tutte le violazioni (anche di quelle potenziali).
Ma molte strutture fanno registrare dati negativi quanto al monitoraggio della performance interna con riguardo agli standard in materia di protezione dei dati: oltre il 30% non dispone di programmi per l’autovalutazione né per la conduzione di audit interni.
Lo Sweep e la rete dei Garanti globali
Le Autorità di protezione dati che hanno svolto l’indagine Sweep 2019 hanno preso in esame i processi e le procedure adottati per la gestione delle violazioni dei dati personali dai titolari dei trattamenti che operano sui rispettivi territori nazionali. L’iniziativa è coordinata dalla Global Privacy Enforcement Network (Gpen).
La Rete globale per l’attuazione della privacy Gpen è nata nel 2010 in seguito a raccomandazioni dell’Ocse. La rete, che ha natura informale e comprende oltre 60 Autorità di 39 paesi, mira a promuovere la cooperazione internazionale fra le Autorità per la privacy in un contesto sempre più globale, ove consumatori e imprese necessitano di un flusso costante di informazioni personali a prescindere dalle frontiere nazionali.
