Come il DPO deve affrontare un’emergenza

La situazione emergenziale è uno stato, innescato da un “agente di minaccia”, in cui può trovarsi un’organizzazione; tale condizione può essere simmetrica, ovvero colpisce tutta una serie di soggetti che appartengono ad uno specifico cluster (area geografica, settore merceologico, ecc.) oppure asimmetrica (colpisce una sola organizzazione). Un incendio o un data breach sono condizioni emergenziali asimmetriche; la pandemia Covid-19 o un evento naturale che colpisce una regione è una condizione emergenziale simmetrica.

Dal punto di vista del Data Protection Officer la condizione emergenziale pone almeno tre sfide:

– la priorità da dare al tema della protezione dei dati rispetto ad altre tematiche, come ad esempio la salute e sicurezza sui luoghi di lavoro;
– la gestione dell’emergenza in quanto impattante sugli interessati;
– la gestione della mancanza totale o parziale di risorse a seguito della condizione emergenziale.

Ad esempio, un incendio nella sede principale dell’azienda dove sono conservati gli archivi, prevede di prendere in carico elementi quali:

– lo stato di salute dei collaboratori eventualmente coinvolti nell’incendio;
– le conseguenze dell’incendio in termini di perdita di dati (ad esempio archivi cartacei danneggiati in modo parziale o totale dal fuoco/acqua) e gestione conseguente dell’eventuale data breach;
– la difficoltà di potersi collegare con l’azienda per effettuare le valutazioni, ad esempio a causa dell’interruzione dei collegamenti e/o della perdita parziale o totale delle infrastrutture.

In questo articolo si analizzano, per sommi capi, le misure che il DPO deve richiedere preventivamente e quelle necessarie nel corso ed a valle dell’emergenza, per una gestione che riduca gli impatti in termini di gravità.

Misure preventive a carico dell’organizzazione – Tra le misure preventive che il DPO deve chiedere che vengano poste in atto ed auditate, alcune risultano particolarmente significative per ridurre le vulnerabilità nel corso di un’emergenza; tra queste:

– individuazione delle risorse per garantire il “minimo vitale” dei diritti e libertà degli interessati e valutazione, nei vari scenari, delle conseguenze legate al non rispetto della normativa in materia di protezione dei dati;
– individuazione dei ruoli e delle responsabilità in un contesto emergenziale a risorse limitate;
– analisi dei rischi che contempli anche eventi che incidono sulla business continuity, analisi che deve essere verificata e se del caso aggiornata, ad intervalli pianificati (scadenziario);
-piano di business continuity, verificato e se del caso aggiornato ad intervalli pianificati (scadenziario);
– disponibilità di risorse finanziarie;
-definizione delle modalità e delle responsabilità per la gestione delle informazioni;
– formazione al personale sugli scenari, per assicurare adeguata competenza, e simulazione degli stessi;
– stipula di contratti con i fornitori per livelli minimi di erogazione del servizio ed audit presso quelli strategici per valutare i loro piani di business continuity;
– procedura di data breach che indaghi gli aspetti relativi a possibili condizioni emergenziali ed alle azioni da porre in atto per ridurre le vulnerabilità; tra i possibili scenari da valutare:
– chiusura temporanea dell’organizzazione (es. periodo di ferie)
– mancanza di membri del Team crisi
– assenza di collegamenti (es. internet, energia)
– assenza totale/parziale di fornitori/servizi critici per la business continuity
– altri scenari dovuti a cause di forza maggiore/eventi naturali
– altri scenari connaturati al contesto in cui opera l’organizzazione.

 

Inoltre, ulteriori preziose indicazioni, sia pure non specifiche del contesto della protezione dei dati personali, ma facilmente estrapolabili ed adattabili, possono essere fornite dall’applicazione totale o parziale dei requisiti della Norma UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” e dalle indicazioni di taglio operativo provenienti dalla UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301”. In particolare si segnalano le utilissime indicazioni operative suggerite dalle linee guida nei paragrafi relativi a:

– Informazioni e dati;
– Sistemi tecnologici di informazione e comunicazione ICT;
– Ripristino dei sistemi ICT.

Misure preventive a carico del DPO – Anche il DPO deve mettere in atto delle misure preventive per anticipare possibili situazioni di criticità in cui potrebbe venire a trovarsi.

Anzitutto, è stato ampiamente dimostrato che la lontananza fisica, situazione che è spesso peculiare alla condizione emergenziale, in molti casi può essere facilmente superata dall’utilizzo della tecnologia, in particolare grazie all’uso di piattaforme che permettono di porre in comunicazione soggetti fisicamente distanti. A tal fine, quale misura preventiva, il DPO deve valutare la ridondanza dei device per sopperire a malfunzionamenti degli stessi o delle connessioni; la dotazione standard del DPO deve prevedere la ridondanza di PC ed abbonamenti ad operatori che forniscano servizi di connettività ed offrano facilmente accesso a un supporto tecnico qualificato che possa operare a distanza oltre la verifica, ad intervalli del corretto funzionamento dei dispositivi di supporto.

Misure nel corso dell’emergenza – Nel corso di un’emergenza vanno anzitutto individuate le priorità da affrontare e bisogna garantire la salvaguardia di vite umane, dei beni pubblici, delle infrastrutture aziendali e del patrimonio di informazioni, compresi i dati personali; una volta messi in sicurezza tali aspetti, devono essere valutate anche le misure da porre in atto per garantire la salvaguardia dei diritti e delle libertà.

Il DPO deve quindi chiedere all’organizzazione di dar conto delle misure poste in atto per affrontare la situazione, sia di quelle preventive che di quelle introdotte sulla base dello scenario configuratosi; inoltre, con tempi e modi che tengano conto delle priorità, all’organizzazione sarà richiesta di dar conto delle eventuali perdite di dati e dell’impossibilità totale o parziale di assicurare i diritti e le libertà dell’interessato.

Tali richieste e le relative risposte devono essere documentate, ad esempio tramite verbali straordinari.

Ad esempio, nei primi mesi dell’emergenza Covid-19, gli aspetti che il DPO potrebbe aver richiesto all’organizzazione di documentare, potevano riguardare:

– adempimenti generali per l’applicazione del Regolamento EU 2016/679 (GDPR)
– misure in atto per la gestione dello smart-working
– sorveglianza sanitaria e gestione dell’interessato sintomatico
– piano di ripresa delle attività
– altri aspetti:
+ verifiche sugli eventuali fornitori nuovi o storici coinvolti nella gestione dell’emergenza
+ eventuale necessità di atti di designazione a responsabili del trattamento per fornitori
+ rapporti con l’Organismo di Vigilanza, ove insediato, per l’applicazione del GDPR

Particolare attenzione deve essere data anche agli aspetti relativi alla comunicazione; testi specializzati affrontano la tematica basandosi sull’analisi delle reazioni umane in condizioni di stress.

Misure a valle dell’emergenza – Sempre riferendoci al Covid-19, a conclusione dell’emergenza gli aspetti da indagare e verbalizzare possono riguardare:

– i tempi di conservazione e le modalità di distruzione della documentazione raccolta in fase di emergenza, relativa ad interessati sintomatici, contagiati, ecc., considerando però che i dati raccolti potrebbero essere richiesti dall’autorità sanitaria per indagini di tipo epidemiologico;
– le procedure per lo smart working, nel caso in cui tale modalità di lavoro si configuri come consolidata all’interno dell’organizzazione.

Ovviamente il DPO deve, in ogni situazione, ribadire la sua piena disponibilità a fornire supporto dietro richiesta dell’organizzazione e dei collaboratori/fornitori/interessati, e deve perciò farsi trovare pronto includendo nella propria formazione anche corsi specifici.

A valle dell’emergenza è inoltre richiesto al DPO di valutare gli effetti dell’evento e la capacità dimostrata dall’organizzazione di rispondere alle sollecitazioni verificatesi, nonché di considerare l’eventuale messa a punto o modifica delle misure definite.

Conclusioni – Le misure, di carattere preventivo e correttivo, da porre in atto durante scenari di emergenza sono di varia natura, ma le tecniche per approntarle sono facilmente individuabili; l’efficacia delle misure adottate, in ogni caso, si basa sulla capacità da parte dell’organizzazione di individuare, preventivamente, un’ampia casistica di minacce e di simulare quelle più probabili, al fine di tenersi pronta ad affrontarle in modo proficuo.

Fonte