ECCO COME SARANNO I FUTURI CONTROLLI PRIVACY

COME SARANNO I CONTROLLI PRIVACY?
Il Garante Inglese ( ICO ) offre alcune indicazioni su modalità e scopi dei controlli ispettivi privacy post GDPR

James Dipple-Johnstone, vice commissario dell’ICO (Il Garante Privacy inglese), ha fatto un bilancio dei primi 3 mesi di applicazione del GDPR (il Regolamento Europeo sulla protezione dei dati personali).
Come noto, l’Inghilterra è in piena fase Brexit; nondimeno è tra i Paesi fautori del cambiamento avviato con il Regolamento Europeo e da tempo ha dichiarato di volerlo applicare.

Nel suo discorso del 12 Settembre, il vice commissario offre utili indicazioni sui criteri di accertamento adottati dall’ICO nel corso dell’attività ispettiva post-GDPR.
L’occasione è quindi propizia per trarre insegnamenti su come orientare l’attività di adeguamento anche alla logica ispettiva del Garante Italiano, essendo comune la fonte legislativa.
Questi i punti salienti, volutamente schematizzati:

  • il Garante Inglese “non è alla ricerca della perfezione”. Sono le parole testuali del vice commissario. Alcuni tipi di errori saranno infatti ammessi (esclusi ovviamente quelli macroscopici – es: mancata nomina del DPO in un ospedale pubblico). L’autorità sa bene che il Regolamento introduce una serie di novità e che occorre tempo per assimilarle; inoltre, rispetto a numerosi adempimenti (es: registro del trattamento, valutazione di impatto) non esiste ancora una prassi sedimentata e le soluzioni corrette possono essere più di una.
  • Il Garante è invece alla ricerca di una gestione del rischio privacy a livello dirigenziale. Le scelte intraprese in ordine a procedure, controlli, misure tecniche-organizzative devono risultare il frutto di un’attenta riflessione da parte del consiglio di amministrazione o di chi ha il potere di compiere tali scelte.
  • Al momento, la sanzione è l’extrema ratio: se il titolare dimostra di aver iniziato un percorso di adeguamento, il Garante “chiude un occhio”, anzi offre consigli guidando l’azienda o l’organizzazione verso la soluzione corretta.
  • Il Vice Commissario rivela che, dal giorno di applicazione del GDPR (25 Maggio 2018), l’ICO continua a ricevere migliaia di segnalazioni per violazioni di dati personali (cc.dd. data breach). Tra gli operatori è ancora diffusa l’idea che si debba comunicare al Garante qualsiasi genere di violazioni. Il GDPR, invece, è molto chiaro nello stabilire una soglia minima, al di sotto della quale non si pongono questioni di protezione dei dati personali (si veda art. 33 GDPR).
  • Nello specifico, il Garante Inglese ha ricevuto circa 500 chiamate alla settimana per segnalazioni di presunti data breach. Circa 1/3 di queste segnalazioni si sono rivelate sotto soglia.
  • 1/5 delle violazioni di dati personali avvengono in conseguenza di attacchi cyber, la metà di questi perpetrati a mezzo phishing (ne abbiamo parlato qui). Le altre violazioni sono in gran parte dipese da malware (10%), misconfiguration (8%) e ransomware (6%).
  • Il Garante Inglese ha rilevato un trend negativo: in caso di data breach, il report che ne consegue risulta spesso incompleto. Molte società non hanno un adeguato sistema di disaster recovery, né procedure che consentano loro di gestire al meglio queste situazioni di emergenza. In particolare, non vi è chiarezza su ruoli e responsabilità, per cui in assenza di un referente privacy, l’Autorità non riesce ad avere una comunicazione fruttuosa con la società titolare.
  • Questi i consigli dell’ICO in caso di data breach:
  1. prendersi del tempo per raccogliere informazioni e decidere se notificare o meno la violazione. Il tempo non è molto (72 ore dalla scoperta della violazione), ma non bisogna farsi prendere dall’ansia, che potrebbe anche condurre alla scelta nefasta di comunicare una violazione ai propri clienti, in seguito rivelatasi sotto soglia, con evidenti danni di immagine a cui difficilmente si potrà porre rimedio;
  2. contattare il Garante telefonicamente prima di procedere formalmente con una notifica;
  3. adottare misure di sicurezza a più livelli, per diminuire la possibilità di violazioni: dall’autenticazione a due fattore, a filtri e-mail, firewall con soluzioni anti-spoofing e piani di formazione del personale.
  • Il discorso termina con una serie di rassicurazioni rivolte ai titolari: se il Garante, nel corso dei suoi controlli ispettivi, rilevasse alcuni errori, nel contesto però di una progettazione solida e trasparente di protezione dei dati personali; se intravedesse anche solo l’embrione di una futura “privacy by design”, questo sforzo volitivo verrebbe di certo premiato, escludendo l’ipotesi di una sanzione. Se, dunque, esiste un progetto privacy in corso di evoluzione, i titolari non devono avere paura di un eventuale controllo da parte dell’Autorità di controllo.