La pandemia e l’esponenziale incremento di attacchi hacker ci hanno ricordato che un’organizzazione può trovarsi inaspettatamente in condizione emergenziale; tale situazione può essere innescata da eventi interni od esterni. Catastrofi naturali, incendi, problemi alla catena di approvvigionamento, attacchi ai sistemi informatici, sono solo alcune delle molte minacce riguardanti la gestione di qualsiasi attività. Il DPO deve essere promotore di una pianificazione coerente e solida della continuità aziendale anche in caso di condizione emergenziale, al fine di garantire i diritti e le liberta dell’interessato, considerando il bilanciamento di tutti gli interessi in gioco, le priorità, le risorse economiche disponibili.
La Norma UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” e la UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301”, sono validissimi strumenti a supporto.
L’obiettivo dell’articolo è quello di introdurre a tali norme ed aiutare a comprendere come da esse possano emergere spunti interessanti per individuare le best practices utili per prevenire e gestire le situazioni di emergenza; ci limiteremo alla parte riguardante gli aspetti che impattano sul DPO.
La UNI EN ISO 22301:2019 è stata sviluppata per essere utilizzata da tutte le organizzazioni che vogliano raggiungere la continuità aziendale, a livelli predeterminati ed accettabili, durante un’interruzione/crisi, grazie all’implementazione di un sistema di gestione della continuità operativa (BCSMS); così le parti interessate sapranno che le contingenze avverse sono note e le misure da porre in atto per garantire la continuità aziendale sono definite.
Le attività a carico del DPO – Il Data Protectio Officer, in relazione al contesto in cui opera l’organizzazione, dovrebbe:
– sensibilizzare il Titolare e la parti interessate ad applicare in tutto o in parte i requisiti e le linee guida, nel caso in cui tali elementi non siano già parte della cultura aziendale;
- richiedere che vengano identificati gli scenari di rischio più probabili;
- richiedere che vengano rese disponibili le risorse per le misure da pianificare, secondo un indice di priorità;
- richiedere che vangano messe in atto le misure secondo il piano definito;
- richiedere i risultati delle prove di simulazione alle risposte agli scenari individuati;
- svolgere o commissionare attività di audit sull’applicazione delle misure definite.
Il DPO dovrebbe anche richiedere che l’organizzazione consideri l’impatto dei vari scenari in relazione ai fornitori critici, affinché si valuti la capacità degli stessi di resistere a condizioni emergenziali. Tale aspetto dovrebbe essere elemento di valutazione, sia iniziale che dinamica, del fornitore.
Conclusione – La UNI EN ISO 22301:2019 e la UNI EN ISO 22313:2020 forniscono strumenti a supporto dell’organizzazione e del DPO per affrontare scenari emergenziali; tali scenari non possono essere ignorati od elusi. Il DPO ha la responsabilità di accompagnare l’organizzazione nel chiaro accertamento delle misure già in atto per contrastarli e nella definizione di quelle che potenzialmente potrebbero essere applicate, supportandola ad identificare le priorità.