Continuare a chiamare privacy la Protezione dei dati, non ci stancheremo di dirlo, porta a gravi distorsioni che inducono a ritenere sufficienti per adempiere al GDPR una privacy policy scaricata da internet e un antivirus. Non è così e, purtroppo, i più se ne rendono conto quando è troppo tardi, magari dopo che una sanzione del Garante o con la perdita dei propri dati, evento che è solo l’anticamera di un intervento successivo dell’Authority.

Ne sanno qualcosa le aziende vittime incolpevoli dell’incendio di un data center che, come riportano notizie di stampa, hanno subito non solo gravi disagi, ma anche creato disservizi alle loro clientele se non, sembra in alcuni casi, addirittura la totale perdita del database aziendale. Si tratta di un evento che, talvolta, non viene preso in giusta considerazione al momento della analisi dei rischi che corrono i dati aziendali e nella predisposizione della privacy policy. La maggior parte delle analisi si focalizza sui rischi che possono essere definiti ordinari, quali un cyberattacco e la successiva fase di recupero dati, ma evenienze catastrofiche, all’apparenza ai confini dell’impossibile, non possono essere trascurate.

Pertanto, non solo deve essere prevista una procedura in caso dei più normali data breach, ma un imprenditore attento deve tenere presente anche l’evenienza di eventi ancora più gravi e, per farlo, non può prescindere da una approfondita conoscenza di quella che possiamo ben definire la catena della privacy nella propria azienda.

In tal senso diventa fondamentale sapere con esattezza dove vengano conservati i dati, informazione che non sempre gli imprenditori dimostrano di sapere in quanto si fidano dei propri web developer, fornitori di gestionali e creatori di siti ai quali si sono affidati. E' necessario quindi accertarsi che vengano periodicamente eseguiti dei backup per avere le copie dei dati, ma anche la consapevolezza di dove materialmente i propri fornitori abbiano inserito uno dei beni aziendali più preziosi ed appetibili per hacker e pirati informatici.

A tutto ciò deve peraltro essere aggiunto, insieme alle procedure in caso di data breach, anche un vero e proprio piano di Recupero dal Disastro (DRP), un documento aziendale dettagliato che indichi come attivarsi a seguito di eventi catastrofici e che non rientrano in canoni normali di prevedibilità. Questo documento assume rilievo fondamentale quando, all’esito di un evento, l’impresa debba rispondere davanti al Garante dell’accaduto e dimostrare di avere fatto tutto quanto in suo potere per evitare la perdita dei dati, ma anche avere previsto tutte quelle procedure virtuose che potranno limitare eventuali provvedimenti sanzionatori.

Limitare al massimo eventuali interruzioni di servizio, individuare da subito i reparti e le risorse da coinvolgere, che dovrebbero in tal senso ricevere anche la giusta formazione, sapere quali componenti della struttura debbano essere utilizzati sono solo i primi elementi di una strategia di intervento che, in ogni caso, non può prescindere a monte dalla ricostruzione della catena per individuare i vari passaggi e, preventivamente, disciplinarli contrattualmente laddove necessario con soggetti esterni o con lettere di incarico a chi opera all’interno della struttura.