Le violazioni della sicurezza danneggiano la reputazione di un'azienda

Nel corso del 2019, sono state effettuate più di venti milioni di comunicazioni di violazione della sicurezza direttamente dai dirigenti stabiliti in Spagna alle parti interessate. Questa comunicazione proattiva da parte dei responsabili del trattamento dimostra l'importanza per loro di gestire correttamente le violazioni della sicurezza, come la conformità al trasferimento e, di conseguenza, di mantenere la fiducia dei clienti nel prodotto o servizio fornito dalle aziende. Ma cosa si intende per violazione della sicurezza? , per il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, definisce ampiamente le «violazioni della sicurezza dei dati personali» come»tutte quelle violazioni della sicurezza che comportano la distruzione, la perdita o l'alterazione accidentale o illecita dei dati personali trasmessi, archiviati o altrimenti trattati, o la comunicazione o l'accesso non automatizzato a tali dati». Va notato che, sebbene tutte le violazioni dei dati personali siano incidenti di sicurezza, non tutte le violazioni di sicurezza sono necessariamente violazioni dei dati personali. Quando si verifica una violazione della sicurezza, il responsabile del trattamento deve attuare un piano d'azione per ridurre al minimo ed evitare ulteriori conseguenze. Se la violazione della sicurezza costituisce un rischio per i diritti e le libertà delle persone, l'Agenzia Spagnola per la Protezione dei Dati (AEPD) deve essere notificata entro un periodo massimo di 72 ore dopo averne preso conoscenza. Quando la violazione della sicurezza può comportare un rischio elevato per i diritti e le libertà degli interessati, il responsabile del trattamento deve informare gli interessati, senza ingiustificato ritardo, della violazione della sicurezza verificatasi. Tale comunicazione verrà effettuata dopo aver effettuato un'analisi precedente, valutando che la comunicazione agli interessati non comprometta l'esito di un'indagine in corso; tale comunicazione potrebbe sempre essere posticipata sotto la supervisione dell'autorità di controllo. La comunicazione alle persone interessate sarà effettuata il prima possibile, con un linguaggio chiaro e semplice e sempre in stretta collaborazione con l'autorità di controllo. L'obiettivo di questo obbligo è eliminare l'opacità con cui, a volte, le violazioni della sicurezza sono state affrontate da alcune organizzazioni, che sono state in grado di comportare un rischio molto elevato per le persone colpite, poiché non sono state informate e non sono state in grado di adottare le misure necessarie per proteggersi. Un esempio di mancanza di trasparenza è stato l'attacco subito da un teleoperatore nel 2014 che ha colpito più di 500 milioni di utenti, che non erano a conoscenza dell'esposizione dei propri dati personali fino al 2016, ovvero stiamo parlando di due anni dopo. Una gestione inadeguata delle violazioni della sicurezza causa danni alla reputazione delle aziende, poiché non esistono politiche interne che promuovano l'implementazione di modelli di gestione e governance dei dati efficaci e diligenti. Un'azione adeguata di fronte a una violazione della sicurezza può portare un beneficio diretto al titolare del trattamento, non solo per il rispetto degli obblighi di legge, ma anche per l'impatto sulla reputazione dell'azienda, come la perdita di fiducia da parte dei clienti. Al giorno d'oggi, la reputazione aziendale è una risorsa sempre più importante all'interno delle organizzazioni come strumento che crea fiducia e lealtà nei loro prodotti o servizi, in un ambiente marcatamente competitivo. Abbiamo a che fare con un bene immateriale, che non compare nei «profitti e perdite» dell'azienda, ma sempre più aziende sono consapevoli che la reputazione ha un impatto economico diretto. Per tutto quanto sopra, l'implementazione di un protocollo di violazione della sicurezza all'interno delle organizzazioni, insieme allo sviluppo di politiche interne, all'implementazione di adeguate misure di sicurezza, compresi i necessari sistemi di rilevamento e analisi delle intrusioni che consentono la protezione dei dati privati e delle informazioni private dell'azienda, nonché l'istituzione di meccanismi per prevenire gli attacchi informatici, riduce notevolmente il verificarsi di violazioni della sicurezza all'interno delle organizzazioni. Ma se ciò dovesse accadere, tenendo conto di quanto sopra, si potrebbe intervenire più rapidamente e rapidamente, evitando i conseguenti danni reputazionali.

Guadalupe Tejela (Avvocato T&L)