ICO UK sommerso dalle violazioni GDPR sulla privacy degli utenti: un grave problema

Alcune ICO sembra che abbiano ricevuto oltre 500 chiamate alla settimana per l’assistenza telefonica per le segnalazioni di violazioni da quando il GDPR è entrato in vigore a maggio, ma circa un terzo di queste non raggiunge la soglia minima, secondo il vice commissario delle operazioni.

James Dipple-Johnstone ha detto alla CBI Cyber ​​Conference di Londra questa settimana che il cane da guardia della privacy del Regno Unito è stato inondato dal fatto che le ansiose aziende hanno sovraperformato.

Nel primo aggiornamento del controllore della privacy da quando è entrato in vigore il nuovo regime di protezione dei dati, ha anche rivelato che molte organizzazioni “stanno lottando con il concetto” di notifiche di violazione di 72 ore, interpretandolo erroneamente come 72 “ore lavorative”.

Dipple-Johnstone ha esortato le organizzazioni a mettere in atto i loro piani di risposta agli incidenti e garantire che i dipendenti senior siano pronti a fornire il maggior numero di dettagli possibile fin dall’inizio, aggiungendo che alcuni rapporti sulle violazioni sono incompleti.

“Non è molto utile sapere che c’è una violazione che interessa molti clienti, ma il relatore non è autorizzato dal consulente legale a dirci altro”, ha affermato. “Se non si assegnano risorse adeguate per gestire la violazione, potremmo chiederti perché no.”

Ha esortato le organizzazioni a verificare le linee guida di reporting dell’ICO ea garantire la sicurezza multilivello, inclusi elementi quali l’autenticazione a due fattori, i filtri e-mail e i controlli anti-spoofing e una maggiore formazione e consapevolezza del personale.

Lillian Tsang, consulente senior per la protezione dei dati e la privacy presso il  gruppo Falanx, ha affermato che le aziende stanno registrando un eccesso di segnalazioni sul versante della sicurezza.

“È la valutazione,” se una violazione rappresenta un rischio fondamentale per il diritto e la libertà delle persone “che rende la violazione segnalabile – questa parte è l’elemento difficile / incerto che un’azienda deve affrontare”, ha spiegato.

“Una società dovrebbe prendere una decisione e sarebbe solo una sua decisione, quindi può diventare una questione di soggettività: un caso di” o no? ” Le aziende non vogliono giocare a un gioco di ipotesi perché preferirebbero segnalare una violazione, per evitare multe di mancata segnalazione di quelle che potrebbero potenzialmente subire le conseguenze finanziarie e di reputazione “.

Per mitigare queste sfide, le aziende hanno bisogno di una chiara procedura di segnalazione delle violazioni che descriva quali tipi di incidenti valgono la pena di segnalare e quali no, ha avvertito.

“Questo li aiuterà a prendere una decisione entro il periodo di tempo di 72 ore assegnato. È anche importante che questi criteri vengano condivisi e adottati nell’intera organizzazione, addestrando il personale e creando maggiore consapevolezza “, ha affermato Tsang.

“Comprendere i prodotti e i servizi in cui potrebbero verificarsi i potenziali rischi di una violazione fondamentale è fondamentale anche utilizzando strumenti, come la privacy per design e le valutazioni di impatto sulla protezione dei dati, continuamente durante l’intero ciclo di vita del prodotto. Infine, le aziende hanno bisogno di guardare e comprendere l’orientamento del regolatore e della Commissione europea “.