Quando si verifica un data breach (purtroppo sempre più spesso) lo stress degli addetti ai lavori può toccare livelli da burnout, a partire dal Chief Information Security Officer (CISO) che è il primo su cui tutti i colleghi vanno di solito a puntare il dito. Tanto è vero che se questa figura che si occupa di sicurezza informatica è sempre più ricercata nel mercato del lavoro, d’altra parte la sua durata media di permanenza in un’azienda è di soli 18 mesi.
Ma a quanto pare il rischio di perdere il posto non viene al primo posto tra le preoccupazioni di questi specialisti della cybersecurity, che nella maggior parte dei casi fanno questo mestiere per passione prima ancora che per guadagno: un recente sondaggio della Heidrick & Struggles ha infatti evidenziato che, quando ai CISO è stato chiesto quali siano i rischi che corrono in relazione allo svolgimento del loro ruolo, il 59% di essi ha risposto che vivere in situazioni di stress è il rischio principale, mentre quasi la metà (48%) ha dichiarato di temere il burnout.
La sicurezza dei dati è però un tema che coinvolge vari attori all’interno di un’organizzazione, e non risparmia certo i Data Protection Officer, che in tali situazioni hanno un ruolo cruciale per quello che riguarda la parte normativa ed i possibili provvedimenti che potrebbe adottare il Garante della Privacy nel caso fosse riscontrata una violazione del GDPR.
Anche per i DPO il data breach può rivelarsi una situazione da incubo e una corsa contro il tempo che non guarda orari e giorni di festività, perché l’art. 33 del Regolamento UE sulla protezione dei dati personali prescrive che il titolare del trattamento deve notificare la violazione all’autorità di controllo competente “senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza”, e le linee guida del Working Party 29 chiariscono che il tempo inizia a decorrere dal momento in cui l’organizzazione acquisisce piena consapevolezza dell’avvenuta violazione senza possibilità di “rimandare tutto a lunedì” al rientro in ufficio dal week end, escludendo quindi anche l’eventualità di dilatare o prolungare volutamente il ristretto tempo concesso dalla legge.
E sempre senza ingiustificato ritardo, “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, dovranno essere informati anche i diretti interessati, che in certi casi potrebbero essere centinaia, migliaia, o centinaia di migliaia, e venuti a sapere del data breach potrebbero a loro volta esercitare i loro diritti sulla privacy generando una pioggia di istanze da gestire nei 30 giorni normalmente previsti dalla normativa.
Quindi, se in situazioni di ransomware o altri incidenti informatici i CISO rischiano di passare notti insonni, i DPO da parte loro non potranno certo beatamente starsene a dormire sonni tranquilli, e non tanto per senso del dovere, ma soprattutto perché è l’art. 38 del GDPR a richiedere che il Data Protection Officer “sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, e questo può avvenire tanto al di fuori dell’orario d’ufficio quanto durante le ferie.
Non sorprende quindi che oltre 1.000 DPO che hanno partecipato ad un sondaggio condotto da Federprivacy a proposito di casi critici e situazioni emergenziali, nelle risposte fornite hanno dichiarato che il 70% di essi teme che possa scatenarsi un’emergenza a causa della sottovalutazione dei rischi sui dati personali, e il 57% è preoccupato che la causa potrebbe essere l’errore umano, ovvero il fuoco amico dell’ “insider threat” sempre in agguato nelle aziende, mentre uno su quattro (26%) vede sulla propria pelle il potenziale rischio dell’incapacità di gestire in modo efficace una situazione di elevato stress come quella di un data breach.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi
