Privacy, luci e ombre sulla gestione dei 'data breach' -4-

(Segue)

Roma, 6 mar. (askanews) - Gli organismi che hanno risposto di non avere politiche interne in caso di violazioni di dati hanno specificato di fare riferimento agli orientamenti forniti dalla competente Autorità di protezione dati, ove necessario. In un caso, l'organismo ha descritto il sistema di valutazione delle violazioni, spiegando di avere implementato un meccanismo di rating a tre colori (rosso, arancio, verde - RAG); il rating tiene conto del numero di dati violati, della sensibilità delle informazioni, del disagio causato, del contenimento o non-contenimento della violazione, della possibilità di recuperare i dati e dell'eventuale applicazione di dispositivi di cifratura.

In 12 dei 16 Paesi che hanno partecipato allo Sweep sono previsti obblighi di notifica delle violazioni di dati. La quasi totalità degli organismi interpellati conosce il quadro giuridico di riferimento, compresi i criteri e le tempistiche per tale notifica. Solo cinque organismi

hanno evidenziato una scarsa conoscenza del quadro giuridico.

La maggioranza di essi giudica utili le indicazioni fornite dalle rispettive Autorità di protezione dei dati in materia di notifica delle violazioni di dati. La scarsità di risorse ha tuttavia impedito ai soggetti di minori dimensioni di mettere a punto tecniche e procedure sofisticate per la gestione delle violazioni.