Trasparenza e responsabilità condivise rendono la tutela dei dati vitale e centrale nelle strategie di sviluppo. Ma la cultura dei dati e della sicurezza è ancora tutta da costruire
Negli ultimi mesi, la cybersecurity è al centro dell’attenzione. Attacchi importanti come WannaCry o Petya / NotPetya hanno coinvolto le imprese su scala globale. Cosa sarebbe accaduto se tali minacce avessero colpito dopo maggio 2018, quando la GDPR sarà a tutti gli effetti in vigore? Probabilmente, molte imprese e organizzazioni B2B avrebbero dovuto sostenere anche il peso delle sanzioni previste dal nuovo Regolamento europeo. Quest’ultimo, vale la pena ricordarlo, è la prima legge che impone alle aziende di comunicare informazioni precise rispetto agli attacchi subiti.
I DATI DEL 2016, ANNO NERO PER LA SICUREZZA
I dati dell’ultimo rapporto CLUSIT ritraggono il 2016 come l’anno più nero di sempre dal punto di vista dell’evoluzione delle minacce e della loro crescita in termini numerici. Sanità, GDO, Banking e Finance i settori più colpiti, ma anche le infrastrutture hanno subito un numero maggiore di attacchi. Il 72% di essi è legato al cybercrime con un aumento – rispetto all’anno precedente – di poco meno del 10%. È un dato che deve far riflettere le imprese da un lato e i cittadini / utenti dall’altro. La sicurezza è cultura, riguarda tutti e solo se per tutti è prioritaria può tutelare al meglio business e dati personali. Il rischio di subire violazioni della nostra privacy, nonché del know-how aziendale, è concreto e pressoché quotidiano. Cosa viene richiesto alle imprese per evitare incidenti e garantire una data protection in linea con la normativa europea?
GDPR E CYBERSECURITY
Il concetto innovativo che coinvolge, nel Regolamento europeo, gli aspetti di cybersecurity è senza dubbio quello di “privacy by design” (art. 25 GDPR). Esso impone di attuare la protezione del dato fin dal momento in cui un trattamento viene progettato e definito. A tal fine, vengono richieste misure tecniche e organizzative adeguate che il titolare dovrà mettere ovviamente in atto, potendone dimostrare in qualunque momento il livello di compliance rispetto alla normativa. Pensare alla tutela del dato in questi termini significa operare sulla base di una corretta valutazione dei rischi. La GDPR lascia un relativo margine di scelta rispetto al tipo di misure di sicurezza da adottare per mitigare al massimo i rischi. Cifratura e pseudonimizzazione sono tra le opzioni principali, ma vengono suggerite anche misure, sia tecniche che organizzative, per “ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico” (art. 32 GDPR). La norma prevede, come è logico, corrette verifiche rispetto alle soluzioni adottate. Lo stesso art. 32 disciplina l’introduzione di procedure volte a “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32 GDPR). In casi particolari, in cui sicurezza, diritti e libertà delle persone fisiche siano particolarmente a rischio per i trattamenti effettuati (si pensi agli oggetti smart wearable o all’IoT), può essere richiesta una valutazione preliminare (PIA – Protection Impact Assessment).
TRASPARENZA E RESPONSABILITÀ
Come accennato in apertura, la GDPR prevede l’obbligo di notifica di un data breach, affinché Autorità Garante e interessati – nei casi previsti – vengano correttamente informati della violazione subita nei modi e nei tempi previsti. Questi obblighi, strumenti preziosi per la crescita delle imprese, porterebbero a risultati superficiali se una reale cultura della sicurezza non fosse condivisa tra tutti coloro che operano con dati personali. Anche in questo caso la norma europea opera da stimolo. L’art. 29 GDPR prescrive di formare e istruire, tutti quei soggetti che materialmente andranno a trattare i dati, sulla modalità e le attività da porre in essere, nonché sui comportamenti utili a prevenire eventuali violazioni e ridurre il rischio di perdita o distruzione, anche accidentale, del dato. Imprese clienti e fornitori di servizi e soluzioni possono trarre il massimo beneficio dalla logica che permea l’assetto della GDPR. Trasparenza e responsabilità condivise rendono la tutela del dato un sistema vitale e centrale nelle strategie di sviluppo. Fondamentale, a parere di chi scrive, adottare un approccio condiviso e costantemente aggiornato che risponda con efficacia ai bisogni di sicurezza e tutela del know-how aziendale di cui i dati personali, pur non essendone l’intero, rappresentano una porzione significativa.
Valentina Frediani è avvocato, CEO e founder di Colin & Partners
