giovedì, 24 settembre 2020

W la Privacy

W la Privacy

Indagine del Global Privacy Enforcement Network: luci e ombre sulla gestione dei data breach

16/03/2020

MILANO - Per quanto risulti approfondita, la conoscenza sulla gestione dei data breach si circoscrive a pochi organismi. Questa considerazione emerge da un’indagine internazionale svolta dalle Autorità per la protezione dei dati personali di 16 Paesi, tra cui l’Italia, e coordinata dall’Autorità neozelandese (Office of the Privacy Commissioner).

Risulta inevitabile, alla luce della quantità di informazioni raccolte e conservate dai soggetti pubblici e privati, che in alcune situazioni specifiche possano verificarsi accessi, comunicazioni o acquisizioni di dati personali in forma non autorizzata.

L'indagine evidenzia come, per tali ragioni, l’approccio a queste violazioni di dati, in termini sia di segnalazione/notifica sia di adozione di misure volte a prevenire il ripetersi della violazione, sia di vitale importanza per le Autorità di protezione dati e per le persone i cui dati sono stati violati.

L'indagine "a tappeto"

Quest'anno, lo Sweep ("indagine a tappeto") annualmente portato avanti dal Gpen (Global Privacy Enforcement Network, Rete globale per l’attuazione della privacy, nata nel 2010 in seguito a raccomandazioni dell’Ocse), ha preso in esame le modalità di gestione e reazione in caso di violazioni dei dati nei diversi Paesi. Sono stati proposti questionari a 1.145 soggetti, tra pubblici e privati, anche se soltanto il 21% (258) ha fornito risposte puntuali.

Il timore che, nei Paesi nei quali la segnalazione dei data breach è obbligatoria, i Garanti nazionali possano avviare attività di accertamento e sanzione sulla base delle risposte fornite risulta uno dei motivi, ipotizzati dai coordinatori dello Sweep, che spiega il limitato numero di soggetti che ha risposto alle domande dell’inchiesta.

Le singole Autorità, alla luce dei risultati, dovranno quindi valutare quali interventi possano essere utili a migliorare il controllo degli utenti sui dati personali che li riguardano.

Non mancano però dati positivi: l’84% dei soggetti intervistati nei diversi Paesi hanno designato un’equipe o un gruppo incaricati della gestione delle violazioni di dati nonché della ricezione delle relative segnalazioni.

Nel 75% dei casi le procedure prevedono fasi essenziali quali attività di contenimento, di valutazione e di analisi dei rischi associati. Nel 18% dei casi le risposte fornite in merito a tali procedure sono insufficienti, e ciò segnala la necessità di maggiore chiarezza rispetto alle politiche da seguire in modo da assicurare l’adozione di tutte le misure fondamentali per rispondere a una violazione dei dati.

Il 65% degli organismi è in possesso di procedure "buone o eccellenti" in caso di violazione dei dati, al fine di prevenirne di successive. Per il rimanente 35%, le procedure previste risultano insufficienti o non vengono specificate.

In caso di mancanza di politiche interne

Gli organismi che hanno partecipato all'indagine rispondendo di non avere politiche interne in caso di violazioni di dati, hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati, dove necessario. L’organismo ha descritto, in un caso, il sistema di valutazione delle violazioni, spiegando di avere implementato un meccanismo di rating a tre colori (rosso, arancio, verde – RAG); il rating tiene conto del numero di dati violati, della sensibilità delle informazioni, del disagio causato, del contenimento o non-contenimento della violazione, della possibilità di recuperare i dati e dell’eventuale applicazione di dispositivi di cifratura.

In 12 dei 16 Paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati. Quasi tutti gli organismi interessati sono a conoscenza del quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica. Cinque soltanto sono gli organismi che hanno mostrato una ridotta conoscenza del quadro giuridico.

La maggioranza di essi valuta come utili le indicazioni fornite dalle rispettive Autorità di protezione dei dati in materia di notifica delle violazioni di dati.  La scarsità di risorse ha però impedito ai soggetti di minori dimensioni di mettere a punto tecniche e procedure sofisticate per la gestione delle violazioni.

Molte strutture fanno registrare dati negativi  in riferiemnto al monitoraggio della performance interna con riguardo agli standard in materia di protezione dei dati: oltre il 30% non dispone di programmi per l’autovalutazione né per la conduzione di audit interni. Quasi la metà (il 45% circa) degli organismi che hanno risposto allo sweep ha dichiarato di tenere registri aggiornati di tutte le violazioni, anche di quelle potenziali.

 

(Fonte: Key4Biz)



Tutte le news

Calendario Corsi 2020

INTERACTIVE LIVE STREAMING
23-24-25 settembre 2020
DAL VIVO ORA !

Formazione privacy

  • Videosorveglianza e privacy: tecnologie, GDPR, videosorveglianza, cosa cambia?
    Validato da TÜV Italia
  • 10 domande sulla Privacy
    Validato da TÜV Italia

Formazione Norme CEI

  • Norma CEI 64-8: Criteri di prestazione dell'impianto elettrico
    Validato da TÜV Italia
  • Realizzi un impianto antintrusione secondo la norma?
    Validato da TÜV Italia
  • Norme CEI: Analisi e valutazione del rischio
    Validato da TÜV Italia

Formazione Antincendio

  • Il nuovo Codice di Prevenzione incendio

Formazione Responsabilità

  • Obblighi e responsabilità per gli operatori della videosorveglianza
    Validato da TÜV Italia

Formazione Commerciale

  • Vendere Sicurezza - Prima e dopo il Covid: come è cambiata la vendita

Formazione Manageriale

  • Welfare aziendale: come costruire un piano di successo

Videsorveglianza Urbana integrata

  • Per Operatori della Pubblica Amministrazione
    23 settembre, 9:00-12:30

Privacy Channel

Ethos Academy

  • Nuova data Privacy Officer e consulente della privacy nel settore Videosorveglianza
    Bologna, 29-30 Ottobre

Tecniche di vendita

Vitekna

  • Vendere sicurezza 2.0: dopo il Covid-19 come cambia la vendita
    Cercola (NA), 3-10-17 ottobre

Vigilo4You - Vigilanza Group

  • Vendere sicurezza oggi
    Brescia, data in definizione

Pillole formative

DST
Norme CEI sistemi videosorveglianza

  • Cologno Monzese (MI)
    data in definizione

Ethos Academy propone corsi propedeutici che portano alla certificazione degli operatori
Scopri la programmazione »