Le notifiche proattive in caso di violazione aiutano a mitigare le sanzioni

Le notifiche proattive in caso di violazione aiutano a mitigare le sanzioni

Le sanzioni per la violazione del Regolamento generale sulla protezione dei dati diventeranno il terrore delle aziende, ma, allo stesso tempo, offriranno l'occasione per migliorare la governance della protezione.

Le aziende che non rispettano le misure di sicurezza previste dal Regolamento generale sulla protezione dei dati rischiano di incorrere in multe pari a 20 milioni euro o al 4% del fatturato annuale conseguito dall'intero gruppo aziendale, se superiore. Queste sanzioni sono molto più pesanti rispetto alle 500.000 sterline di multa che può prescrivere la Information Commissioner (ICO) nel Regno Unito: è quindi naturale che le aziende che gestiscono o elaborano i dati dei cittadini europei siano preoccupate.

Infatti, il Payment Card Industry Security Standards Council (PCISSC) stima che, quando il regolamento entrerà in vigore a maggio 2018, il totale delle multe comminate alle aziende britanniche per eventuali violazioni degli standard di protezione dei dati potrebbe raggiungere i 122 miliardi di sterline.

Una stima che desta preoccupazione, così come il fatto che l'importo massimo della multa può ammontare a 20 milioni di euro o, se superiore, al 4% dell'intero fatturato aziendale.

 

Alternative alla multa

L'ICO, l'ente di controllo nel Regno Unito, può adottare diverse misure in caso di inadempienze al Regolamento generale sulla protezione dei dati.

Le autorità predisposte alla supervisione possono intraprendere azioni correttive come formulare avvertimenti o moniti, emettere ordini di adeguarsi alle normative e, in casi estremi, negare alle aziende l'autorizzazione al trattamento dei dati personali, una misura che potrebbe compromettere lo svolgimento delle attività aziendali.

Le multe comminate dalle autorità di vigilanza devono risultare sempre "efficaci, proporzionate e dissuasive". Le sanzioni possono essere di 2 livelli: il primo riguarda le violazioni commesse dai responsabili del trattamento dati. L'importo massimo per le multe di livello 1 è pari a € 10.000.000 o al 2% del fatturato annuale totale.

Il secondo livello, applicato in genere alla violazione dei diritti e delle libertà di terzi, prevede sanzioni fino a € 20.000.000 o fino al 4% del fatturato annuale dell'interro gruppo aziendale.

Duncan Brown, analista IDC, commenta "Le multe sono così pesanti perché fungono da dissuasione. Ma, da quanto ho appreso dagli enti di controllo, se un'azienda dimostra che sta cercando di conformarsi con procedure adeguate è previsto un margine di tolleranza".

In che modo le aziende possono evitare di incorrere in queste multe salatissime? Secondo gli esperti, il ricorso alla crittografia e alle tecnologie di creazione di pseudonimi potrebbe ridurre significativamente il rischio di violazioni.

 

Segnalazioni proattive delle violazioni

Il Regolamento generale sulla protezione dei dati prevede l'obbligo per il responsabile del trattamento dati di comunicare le avvenute violazioni entro 72 ore, o di fornire un motivo in caso di ritardo. Nel Regolamento generale sulla protezione dei dati, per violazione della sicurezza dei dati personali si intende  "una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso non autorizzati  ai dati personali, trasmessi, archiviati o elaborati in altro modo, siano questi accidentali o illegittimi".

Il responsabile del trattamento dati (in genere la società che elabora i dati dei clienti ed è responsabile della conformità al Regolamento generale sulla protezione dei dati ), è tenuto inoltre a descrivere all'ente di controllo "almeno" l'entità della violazione, le possibili conseguenze e come porre rimedio alla situazione.

Brian Honan, CEO ed esperto di sicurezza di BH Consulting, spiega che "le aziende dovrebbero definire un processo lineare di risposta agli incidenti che, oltre agli aspetti tecnici della violazione, tenga conto anche delle pubbliche relazioni, della strategia di comunicazione e della cooperazione con gli enti normativi".

E aggiunge: "Occorre inoltre testare regolarmente i piani per verificarne l'appropriatezza. Le aziende devono inoltre adottare procedure di monitoraggio e controllo appropriate per identificare velocemente eventuali violazioni".

Per team di sicurezza e DPO, la chiave per minimizzare il rischio di sanzioni e i costi legati all'obbligo di informare gli utenti interessati in caso di violazione è essere proattivi nel proteggere i dati e comunicare eventuali incidenti, oltre che dimostrare un approccio positivo alla protezione dei dati.

"Più informazioni si è in grado di fornire sull'avvenuta violazione e meno severa sarà la pena," spiega Duncan Brown di IDC.

Anziché concentrarsi sull'aspetto delle multe, Brown suggerisce invece di "puntare a definire procedure consigliate appropriate in base alle dimensioni e alla complessità dell'azienda. Una volta messe in atto procedure accurate, la conformità verrà da sé".

Proprietà dei dati Responsabile della conformità dei dati (CCO) Responsabile della sicurezza di informazioni e comunicazione (CISO) Team legali

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond