Indagine del Global Privacy Enforcement Network: luci e ombre sulla gestione dei data breach

MILANO - Per quanto risulti approfondita, la conoscenza sulla gestione dei data breach si circoscrive a pochi organismi. Questa considerazione emerge da un’indagine internazionale svolta dalle Autorità per la protezione dei dati personali di 16 Paesi, tra cui l’Italia, e coordinata dall’Autorità neozelandese (Office of the Privacy Commissioner).

Risulta inevitabile, alla luce della quantità di informazioni raccolte e conservate dai soggetti pubblici e privati, che in alcune situazioni specifiche possano verificarsi accessi, comunicazioni o acquisizioni di dati personali in forma non autorizzata.

L'indagine evidenzia come, per tali ragioni, l’approccio a queste violazioni di dati, in termini sia di segnalazione/notifica sia di adozione di misure volte a prevenire il ripetersi della violazione, sia di vitale importanza per le Autorità di protezione dati e per le persone i cui dati sono stati violati.

L'indagine "a tappeto"

Quest'anno, lo Sweep ("indagine a tappeto") annualmente portato avanti dal Gpen (Global Privacy Enforcement Network, Rete globale per l’attuazione della privacy, nata nel 2010 in seguito a raccomandazioni dell’Ocse), ha preso in esame le modalità di gestione e reazione in caso di violazioni dei dati nei diversi Paesi. Sono stati proposti questionari a 1.145 soggetti, tra pubblici e privati, anche se soltanto il 21% (258) ha fornito risposte puntuali.

Il timore che, nei Paesi nei quali la segnalazione dei data breach è obbligatoria, i Garanti nazionali possano avviare attività di accertamento e sanzione sulla base delle risposte fornite risulta uno dei motivi, ipotizzati dai coordinatori dello Sweep, che spiega il limitato numero di soggetti che ha risposto alle domande dell’inchiesta.

Le singole Autorità, alla luce dei risultati, dovranno quindi valutare quali interventi possano essere utili a migliorare il controllo degli utenti sui dati personali che li riguardano.

Non mancano però dati positivi: l’84% dei soggetti intervistati nei diversi Paesi hanno designato un’equipe o un gruppo incaricati della gestione delle violazioni di dati nonché della ricezione delle relative segnalazioni.

Nel 75% dei casi le procedure prevedono fasi essenziali quali attività di contenimento, di valutazione e di analisi dei rischi associati. Nel 18% dei casi le risposte fornite in merito a tali procedure sono insufficienti, e ciò segnala la necessità di maggiore chiarezza rispetto alle politiche da seguire in modo da assicurare l’adozione di tutte le misure fondamentali per rispondere a una violazione dei dati.

Il 65% degli organismi è in possesso di procedure "buone o eccellenti" in caso di violazione dei dati, al fine di prevenirne di successive. Per il rimanente 35%, le procedure previste risultano insufficienti o non vengono specificate.

In caso di mancanza di politiche interne

Gli organismi che hanno partecipato all'indagine rispondendo di non avere politiche interne in caso di violazioni di dati, hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati, dove necessario. L’organismo ha descritto, in un caso, il sistema di valutazione delle violazioni, spiegando di avere implementato un meccanismo di rating a tre colori (rosso, arancio, verde – RAG); il rating tiene conto del numero di dati violati, della sensibilità delle informazioni, del disagio causato, del contenimento o non-contenimento della violazione, della possibilità di recuperare i dati e dell’eventuale applicazione di dispositivi di cifratura.

In 12 dei 16 Paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati. Quasi tutti gli organismi interessati sono a conoscenza del quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica. Cinque soltanto sono gli organismi che hanno mostrato una ridotta conoscenza del quadro giuridico.

La maggioranza di essi valuta come utili le indicazioni fornite dalle rispettive Autorità di protezione dei dati in materia di notifica delle violazioni di dati.  La scarsità di risorse ha però impedito ai soggetti di minori dimensioni di mettere a punto tecniche e procedure sofisticate per la gestione delle violazioni.

Molte strutture fanno registrare dati negativi  in riferiemnto al monitoraggio della performance interna con riguardo agli standard in materia di protezione dei dati: oltre il 30% non dispone di programmi per l’autovalutazione né per la conduzione di audit interni. Quasi la metà (il 45% circa) degli organismi che hanno risposto allo sweep ha dichiarato di tenere registri aggiornati di tutte le violazioni, anche di quelle potenziali.

(Fonte: Key4Biz)