Le violazioni della sicurezza danneggiano la reputazione dell'azienda

Nel corso del 2019, più di venti milioni di comunicazioni di violazione della sicurezza sono state effettuate direttamente dai responsabili del trattamento stabiliti in Spagna agli interessati. Questa comunicazione proattiva da parte dei responsabili del trattamento dei dati dimostra quanto sia importante per loro gestire correttamente le violazioni della sicurezza al fine di rispettare il trasferimento e, di conseguenza, mantenere la fiducia dei clienti nel prodotto o servizio fornito dalle aziende, Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, definisce in modo ampio le "violazioni della sicurezza dei dati personali" come"qualsiasi violazione della sicurezza che comporti la distruzione, la perdita o l'alterazione accidentale o illecita di dati personali trasmessi, conservati o altrimenti trattati, oppure la divulgazione non autorizzata o l'accesso a tali dati". Va notato che, sebbene tutte le violazioni di dati personali siano incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni di dati personali. Quando si verifica una violazione della sicurezza, il responsabile del trattamento deve mettere in atto un piano d'azione per ridurre al minimo e prevenire ulteriori conseguenze. Se la violazione della sicurezza costituisce un rischio per i diritti e le libertà delle persone, l'Agenzia spagnola per la protezione dei dati (AEPD) deve essere informata entro 72 ore dal momento in cui ne viene a conoscenza.Quando la violazione della sicurezza può comportare un rischio elevato per i diritti e le libertà degli interessati, il titolare del trattamento deve notificare agli interessati, senza indebito ritardo, la violazione della sicurezza che si è verificata. Tale comunicazione deve essere effettuata dopo un'analisi preventiva, valutando che la comunicazione agli interessati non comprometta l'esito di un'indagine in corso; tale comunicazione può essere rinviata sotto la supervisione dell'autorità di controllo. La comunicazione agli interessati deve avvenire il prima possibile, in un linguaggio chiaro e semplice e sempre in stretta collaborazione con l'autorità di controllo. L'obiettivo di questo obbligo è eliminare l'opacità con cui, a volte, alcune organizzazioni hanno affrontato le violazioni della sicurezza, che possono aver causato un rischio molto elevato per gli interessati, che non sono stati informati e non hanno potuto adottare le misure necessarie per proteggersi. Un esempio di mancanza di trasparenza è stato l'attacco subito da un operatore telefonico nel 2014 che ha colpito più di 500 milioni di utenti, i quali si sono accorti dell'esposizione dei loro dati personali solo nel 2016, ovvero due anni dopo. Una gestione inadeguata delle violazioni della sicurezza danneggia la reputazione delle aziende, in quanto non dispongono di politiche interne che promuovano l'implementazione di modelli di gestione e governance dei dati efficaci e diligenti. Un'azione adeguata in caso di violazione della sicurezza può essere di diretto vantaggio per il titolare del trattamento, non solo per il rispetto degli obblighi di legge, ma anche per l'impatto sulla reputazione dell'azienda, come ad esempio la perdita di fiducia da parte dei clienti.Oggi la reputazione aziendale è un asset sempre più importante all'interno delle organizzazioni, in quanto strumento per costruire la fiducia e la fedeltà verso i propri prodotti o servizi, in un contesto fortemente competitivo. Siamo di fronte a un asset intangibile, che non compare nel conto economico dell'azienda, ma sempre più imprese sono consapevoli che la reputazione ha un impatto economico diretto.Per tutti questi motivi, l'implementazione di un protocollo di violazione della sicurezza all'interno delle organizzazioni, insieme allo sviluppo di politiche interne, all'implementazione di adeguate misure di sicurezza, compresi i necessari sistemi di rilevamento e analisi delle intrusioni per proteggere i dati dei singoli e le informazioni private dell'azienda, nonché alla creazione di meccanismi per prevenire gli attacchi informatici, riduce notevolmente il verificarsi di violazioni della sicurezza all'interno delle organizzazioni. Tuttavia, nell'eventualità di una violazione di questo tipo, tenendo conto di quanto detto sopra, sarebbe possibile agire con maggiore tempestività e rapidità, evitando il conseguente danno reputazionale.

Guadalupe Tejela (Avvocato T&L)