Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 20 Ottobre 2022 08:00
Autore: Stefano Gazzella
Dopo aver elencato alcuni degli errori più comuni relativi alle comunicazioni di data breach dirette agli interessati, è bene esplorare alcune buone pratiche da seguire perché ogni organizzazione sia in grado di provvedere a riguardo.
Beninteso, sono condizioni necessarie ma non sufficienti ma possono essere degli spunti di riferimento tanto per un’attività di integrazione che di controllo delle misure predisposte. Inoltre, è bene che vengano sempre declinate tenendo conto dell’approccio risk-based richiesto dal GDPR e che siano integrate con l’assetto organizzativo entro cui dovranno andare ad operare.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
È innanzitutto necessario che l’organizzazione abbia correttamente adottato una procedura dedicata alla gestione degli eventi di violazione dei dati personali, e che dunque la stessa non sia soltanto formalmente corretta e rispondente ai criteri indicati dagli artt. 33 e 34 GDPR per completezza, ma che sia anche adeguatamente diffusa presso il personale che partecipa alle attività di trattamento.
Non solo.
Deve definire con chiarezza ruoli e responsabilità dei soggetti che intervengono, nonché sia richiamata all’interno degli interventi di sensibilizzazione e addestramento svolti dall’organizzazione. Lo scopo è che ciascuno degli operatori o dei soggetti cui sono assegnate delle fasi decisionali, fra cui rientra anche la gestione della comunicazione agli interessati, sappia in che modo agire andando così a ridurre lo stress organizzativo e di conseguenza i tempi di reazione e la possibilità di commettere errori.
Un ulteriore elemento imprescindibile per garantire la massima tutela degli interessati coinvolti dalla violazione è curare la tempestività della comunicazione per la parte che fa riferimento alla natura dell’accaduto – e dunque: andare se c’è stata un’indisponibilità dei servizi o anche un’esfiltrazione dei dati, ad esempio.
Occorre inoltre essere in grado di indicare le probabili conseguenze chiarendo quanto prima rischi e pericoli. Nel caso in cui le informazioni richieste dall’art. 34 GDPR non siano immediatamente disponibili, l’organizzazione dovrà essere in grado di fornire aggiornamenti attraverso i propri canali di comunicazione man mano che si procederà con l’investigazione dell’incidente.
Ultimo aspetto ma non meno importante è aver cura della chiarezza della comunicazione adottando la forma “concisa, trasparente, intelligibile e facilmente accessibile” prescritta dall’art. 12 GDPR e facendo ricorso all’impiego di un linguaggio semplice e chiaro.
Occorre infatti tenere conto dei destinatari e perseguire di conseguenza l’obiettivo di fornire loro una chiara comprensione delle informazioni indicate dalla norma, evitando quanto più possibile tutti quei tecnicismi specifici che possono essere d’ostacolo a riguardo. Tecnicismi che invece possono e anzi devono trovare impiego all’interno della documentazione relativa all’incidente o nella notifica della violazione nei confronti dell’autorità di controllo.
Stefano Gazzella