LE ATTIVITÀ DA SVOLGERE IN CASO DI DATA BREACH

La notifica al Garante

Nell’ipotesi in cui la valutazione del rischio presenti la necessità della notifica al Garante, è importante chiarire alcuni aspetti pratici operativi. Il primo e decisamente più importante è quello della compilazione del modello di notifica presente sul sito dell’Autorità della privacy in formato Pdf modificabile. Le domande poste dal Garante nel modello sono 29 e si possono dividere in tre grandi categorie: descrizione e possibili conseguenze della violazione, misure adottate a seguito del data breach e comunicazione all’interessato.

Per quanto attiene la descrizione della violazione, è importante chiarire che se non è possibile reperire le informazioni sufficienti a rispondere ai quesiti posti al Garante nelle 72 ore previste dal Gdpr, è possibile effettuare una notifica preliminare e riservarsi un’integrazione in un momento successivo. Inoltre, il termine di 72 ore decorre dal momento in cui il titolare viene a conoscenza del data breach, termine che non va confuso con il momento in cui si è verificato l’evento: molto spesso capita, infatti, che la violazione di dati avvenga molto tempo prima rispetto a quando se ne ha effettiva conoscenza.

Inoltre, un aspetto decisamente importante è il “piano rimediale” all’interno del quale si devono fornire e indicare le misure di sicurezza adottate a seguito dell’incidente e quelle che si vorranno adottare in un prossimo futuro. E se nel caso di un errore umano è evidente che l’investimento dovrà vertere sulla formazione - che sarebbe buona norma attivare anche in modo preventivo per poter a posteriori dimostrare che molto si è fatto - nel caso di un cyber attacco sarà necessario potenziare la sicurezza informatica del proprio studio professionale.

Un ultimo aspetto da considerare è la comunicazione agli interessati, ossia clienti o dipendenti, che rappresenta forse la sfida più complessa da gestire (si veda l’articolo a fianco).