L’Autorità garante spagnola adotta delle Linee Guida per la prevenzione dei data breach nella Pubblica Amministrazione
L’Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato le Orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales. Si tratta di un documento rivolto al settore pubblico che esamina la gestione dei rischi derivanti dal trattamento di enormi quantità di dati personali e dal loro scambio tra le Pubbliche Amministrazioni.
Le amministrazioni pubbliche, come tutti i titolari del trattamento, devono mettere in conto l’eventualità che si verifichino delle violazioni di dati personali e che le misure di sicurezza non garantiscano una protezione totale. Pertanto, devono attuare misure e azioni specifiche fin dalla progettazione del trattamento per ridurre al minimo il potenziale impatto individuale e sociale di un eventuale data breach.
Stando ai dati, infatti, nel 2021, l’Agenzia ha ricevuto 163 notifiche di violazione di dati personali dal settore pubblico, e nel 2022 la cifra è aumentata del 49%, arrivando a 243.
Una gestione efficace del rischio implica l’azione coordinata dei soggetti coinvolti nel trattamento, uno studio congiunto dei diversi scenari di violazione dei dati in caso di fallimento delle misure di sicurezza e l’adozione di misure specifiche e adeguate al fine di ridurre al minimo l’impatto sui diritti fondamentali. Proprio per questo, le linee guida includono un elenco di misure preventive di rilevamento, risposta, revisione e monitoraggio che potrebbero essere attuate nell’ambito di questo tipo di trattamento.
Nelle linee guida l’AEPD sottolinea che gestire questi trattamenti è organizzativamente complesso a causa della molteplicità degli attori coinvolti. Peraltro, l’interconnessione di infrastrutture per l’accesso e lo scambio di dati moltiplica la probabilità che una violazione dei dati personali si concretizzi, generando un grande impatto. Ciò implica la necessità di attuare misure di salvaguardia della privacy e di sicurezza, sia tecniche che organizzative, adeguate a questi scenari complessi, specifiche e in grado di gestire in modo coordinato l’elevato impatto sociale in relazione alla protezione dei dati.
