Stefano Gazzella : 20 Ottobre 2022 08:00
Autore: Stefano Gazzella
Dopo aver elencato alcuni degli errori più comuni relativi alle comunicazioni di data breach dirette agli interessati, è bene esplorare alcune buone pratiche da seguire perché ogni organizzazione sia in grado di provvedere a riguardo.
Beninteso, sono condizioni necessarie ma non sufficienti ma possono essere degli spunti di riferimento tanto per un’attività di integrazione che di controllo delle misure predisposte. Inoltre, è bene che vengano sempre declinate tenendo conto dell’approccio risk-based richiesto dal GDPR e che siano integrate con l’assetto organizzativo entro cui dovranno andare ad operare.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
È innanzitutto necessario che l’organizzazione abbia correttamente adottato una procedura dedicata alla gestione degli eventi di violazione dei dati personali, e che dunque la stessa non sia soltanto formalmente corretta e rispondente ai criteri indicati dagli artt. 33 e 34 GDPR per completezza, ma che sia anche adeguatamente diffusa presso il personale che partecipa alle attività di trattamento.
Non solo.
Deve definire con chiarezza ruoli e responsabilità dei soggetti che intervengono, nonché sia richiamata all’interno degli interventi di sensibilizzazione e addestramento svolti dall’organizzazione. Lo scopo è che ciascuno degli operatori o dei soggetti cui sono assegnate delle fasi decisionali, fra cui rientra anche la gestione della comunicazione agli interessati, sappia in che modo agire andando così a ridurre lo stress organizzativo e di conseguenza i tempi di reazione e la possibilità di commettere errori.
Un ulteriore elemento imprescindibile per garantire la massima tutela degli interessati coinvolti dalla violazione è curare la tempestività della comunicazione per la parte che fa riferimento alla natura dell’accaduto – e dunque: andare se c’è stata un’indisponibilità dei servizi o anche un’esfiltrazione dei dati, ad esempio.
Occorre inoltre essere in grado di indicare le probabili conseguenze chiarendo quanto prima rischi e pericoli. Nel caso in cui le informazioni richieste dall’art. 34 GDPR non siano immediatamente disponibili, l’organizzazione dovrà essere in grado di fornire aggiornamenti attraverso i propri canali di comunicazione man mano che si procederà con l’investigazione dell’incidente.
Ultimo aspetto ma non meno importante è aver cura della chiarezza della comunicazione adottando la forma “concisa, trasparente, intelligibile e facilmente accessibile” prescritta dall’art. 12 GDPR e facendo ricorso all’impiego di un linguaggio semplice e chiaro.
Occorre infatti tenere conto dei destinatari e perseguire di conseguenza l’obiettivo di fornire loro una chiara comprensione delle informazioni indicate dalla norma, evitando quanto più possibile tutti quei tecnicismi specifici che possono essere d’ostacolo a riguardo. Tecnicismi che invece possono e anzi devono trovare impiego all’interno della documentazione relativa all’incidente o nella notifica della violazione nei confronti dell’autorità di controllo.
Stefano GazzellaUn giovedì nero per milioni di utenti Microsoft Teams in tutto il mondo. Una funzionalità chiave della piattaforma di collaborazione – l’apertura dei documenti Office incorpora...
È stata intentata una causa contro OpenAI in California , sostenendo che ChatGPT abbia spinto un sedicenne al suicidio. I genitori di Adam Reid, deceduto l’11 aprile 2025, hanno affermato ...
La rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello St...
Una vulnerabilità critica nella versione desktop di Docker per Windows e macOS ha consentito la compromissione di un sistema host tramite l’esecuzione di un contenitore dannoso, anche se e...
Finalmente (detto metaforicamente), ci siamo arrivati. Gli esperti di ESET hanno segnalato il primo programma ransomware in cui l’intelligenza artificiale gioca un ruolo chiave. Il nuovo campio...
