Forum Anorc, ecco le azioni per prevenire e reagire al data breach

La sessione ha visto il confronto tra professionisti e imprese associati ANORC dedicato ad alcuni aspetti legati alla gestione degli incidenti informatici e al data breach

ROMA – “In caso di data breach tutti pensano all’hacker che supera i nostri sistemi di protezione e ci ruba i dati. In realtà ci sono casistiche di data breach molto più frequenti, banali e meno gravi che capitano davvero a tutti. Ad esempio, nel caso di un dipendente che invia per errore l’elenco contenenti dati personali a un indirizzo email errato, dovremmo porci il dubbio e valutare se quell’azione arrechi un pregiudizio agli interessati. Nessuno di noi può considerarsi esente da casi del genere”. Lo ha dichiarato, durante il Forum Nazionale dei DPO e Responsabili della comunicazione organizzato da Anorc, il dottor Pierangelo Felici, DPO Iscritto agli elenchi dei Professionisti della privacy e digitalizzazione di ANORC Professioni, che ha portato la propria esperienza nell’ambito della gestione operativa di alcuni data breach sottolineando che, quando si parla in tale ambito, non ci si riferisce esclusivamente ad attacchi informatici esterni, come pensano molti, ma anche e soprattutto a eventuali errori degli autorizzati al trattamento o di responsabili che portano ad una violazione dei dati.

L’intervento si è tenuto nella seconda parte della sessione pomeridiana del Forum, moderata dall’avvocato Luigi Foglia, segretario generale ANORC, che ha visto il confronto tra professionisti e imprese associati ANORC dedicato ad alcuni aspetti legati alla gestione degli incidenti informatici e al data breach. “Con chi quotidianamente tocca con mano i temi legati alla sicurezza informatica si è tentato di capire su quali aspetti è necessario puntare l’attenzione per prevenire e curare nel miglior modo possibile un incidente di sicurezza che possa comportare danni rilevanti per i dati personali- ha dichiarato Luigi Foglia- abbiamo scelto di riunire DPO e RdC insieme, perché i documenti trattati in ogni sistema di conservazione conterranno, nella maggior parte dei casi, anche dati personali. Fin dalle l’apparato dei tre DPCM risalenti al 2013/2014, infatti, è sempre stato richiesto un confronto continuo e diretto tra i responsabili che si occupano di documento e il responsabile del trattamento dei dati personali. Queste figure devono collaborare fra di loro per fare in modo che la corretta gestione dei documenti non comprometta la riservatezza e sicurezza dei dati personali”.

Il dottor Flavio Petrino, coordinatore ANORC regione Lombardia, iscritto all’elenco dei Professionisti della digitalizzazione di ANORC Professioni, esperto in gestione documentale per la società Faber System Srl, socio operatore ANORC, ha evidenziato l’importanza della formazione nell’utilizzo degli strumenti informatici, dichiarando che “la prima cosa fondamentale è essere consapevoli degli strumenti informatici, che oramai fanno parte della nostra vita lavorativa e privata. È necessario investire sulla formazione dei sui ragazzi fin dalle elementari”.

La tavola rotonda è proseguita con il dottor Donato Luongo, DPO Faber System Srl, socio operatore ANORC, che ha rappresentato le difficoltà incontrate nell’attività quotidiana di un DPO sia nel far percepire ai clienti l’importanza di una corretta prevenzione dei data breach, sia nell’orientare correttamente i trattamenti soprattutto sotto il profilo della pertinenza dei dati trattati e della minimizzazione dei trattamenti effettuati dalla propria società. “Spesso- ha dichiarato in merito Luongo- ci vengono forniti dati dai nostri clienti che nulla hanno a che fare con quel determinato servizio. Trattandosi di eccesso di trattamento, c’ è da minimizzare la base dei dati che il titolare deve fornire al responsabile esterno. La nostra quotidianità è fatta anche di attività di pre-verifica e pre-qualifica con un confronto interno prima di informare il nostro cliente”.

Il dottor Lorenzo Bosetti, iscritto agli elenchi dei Professionisti della privacy e digitalizzazione di ANORC Professioni – Consulente in Avvera S.r.l. e Plug-in S.r.l., ha poi ribadito l’importanza della formazione nei vari aspetti della gestione del ‘data breach’: dalla prevenzione, fino alla gestione dell’eventuale incidente e alle successive attività di miglioramento continuo finalizzate ad evitare il ripetersi dell’incidente.

“Il dipendente dell’azienda ha il compito di essere la sentinella del DPO, che deve percepire il vissuto del proprio cliente, soprattutto nei casi in cui il DPO è esterno e non è presente tutti i giorni in azienda- ha affermato il dottor Bosetti- La connessa correlazione con chi vive nella realtà aziendale è fondamentale, quando noi consulenti ci presentiamo ai dipendenti di un cliente siamo chiamati, in primis, a irrobustire la formazione e la consapevolezza del cliente”.
Il confronto tra professionisti si è concluso con l’intervento dell’ingegner Andrea Piccoli, iscritto all’elenco dei Professionisti privacy e digitalizzazione e dei Advisory Chief Digital Officer e Vice Presidente di Dgroove, socio ANORC, che ha illustrato le potenzialità dello schema ISPD 10003:2020 che permetterebbe un’efficace valutazione del grado di conformità dei propri trattamenti a quanto previsto dal Regolamento europeo 679/2016 – GDPR. “Ho avuto modo di lavorare sullo schema ISPD 10003:2020 che tiene conto non solo delle misure adottate, ma anche e soprattutto della consapevolezza dell’organizzazione e dei diversi interlocutori che sono coinvolti in un singolo trattamento o in generale nell’intera conduzione della protezione dei dati personali. Adottare schemi consolidati e condivisi è un aspetto che ritengo interessante- ha affermato Piccoli- perché da un lato evita il ‘fai da te’ e dall’altro si pone come guida per l’adozione di uno strumento nella valutazione e impostazione dei rischi che ci permetta di chiederci quanto quei rischi che abbiamo censito siano effettivamente aderenti alla realtà. Quello che succede nel caso del data breach, infatti, è di scoprire che quelle valutazioni effettuate non sono poi così vere e attuali”.