Perché combattere il cyber risk con la privacy
Un approfondimento dell’Avv. Frediani pubblicato su IPSOA in tema di cyber risk e privacy.
Quando si parla di rischio informatico, o cyber risk, è difficile incontrare organizzazioni business completamente inconsapevoli al riguardo. Non solo perché il tema della sicurezza è tra i più discussi, ma perché si accompagna – sempre più da vicino – al progresso tecnologico stesso. Lo sa bene anche l’OCSE che nella nuova Raccomandazione sulla sicurezza digitale e la gestione del rischio (2015) afferma come il rischio per la sicurezza digitale, quale problema di ordine economico e non solo tecnologico, dovrebbe essere integrato nei processi decisionali di ogni organizzazione.
Un binomio consolidato, dunque, con il quale fare i conti senza nascondere la testa sotto la sabbia. La contraddizione di molte imprese europee sta invece nel riconoscere l’esistenza di rischi interni ed esterni connessi agli strumenti tecnologici utilizzati, ma nel non produrre una strategia per prevenirli e reagire ad essi in modo efficace e puntuale.
Una situazione schizofrenica destinata, ci auguriamo, a cambiare anche su impulso dei dettami normativi in materia di privacy e sicurezza dei dati a cui il totale delle aziende del Vecchio Continente dovrà adeguarsi entro maggio 2018. Una spinta che, personalmente, ritengo estremamente propizia all’evoluzione del settore ICT, che vedrà coinvolti processi e logiche di domanda-offerta, ben oltre il raggiungimento della compliance alla GDPR (General Data Protection Regulation).
Come influiscono reciprocamente Cyber Risk e Privacy?
Un collegamento diretto esiste già negli obblighi inerenti il concetto di privacy by design proprio rispetto al cyber risk. Attuare una protezione del dato, fin dalla fase di progettazione di un trattamento, impone al Titolare misure tecniche e organizzative adeguate tenuto conto dello “stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità”, come anche dei rischi di varia probabilità e gravità, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.
Una visione con cui è facile prendere confidenza e che – una volta entrata a far parte delle logiche procedurali standard – non potrà che facilitare una migliore analisi di come i dati siano gestiti in azienda. Risulta evidente come pensare alla tutela del dato in questi termini implichi individuare i possibili fattori di rischio ed operare per prevenire quelli informatici che – lo ripetiamo – possono essere esterni ma anche interni, in una misura spesso sottovalutata. Una mappatura accurata dei trattamenti in essere, e delle figure in essi coinvolte, consente di razionalizzare e monitorare con efficacia il flusso dei dati e saper agire tempestivamente in caso di violazioni (data breach).
Qualora si ricorra poi, in parte o del tutto, a soluzioni in outsourcing i responsabili del trattamento saranno a loro volta, se in possesso dei requisiti di idoneità della cui verifica si fa carico il titolare stesso, vincolati a quest’ultimo da precisi accordi contrattuali e – qui sta la novità – alle disposizioni del Regolamento Europeo. Essi dovranno quindi mettere in atto le medesime misure tecniche ed organizzative richieste dalla norma al titolare, al fine di assisterlo nel rispetto degli obblighi previsti.
Quali sono le misure idonee?
Nel testo si offrono numerosi spunti su quali misure siano ritenute più indicate ai fini della sicurezza del dato per limitare danni da cyber risk. In particolare vengono richiesti: pseudonimizzazione e cifratura; la capacità di assicurare, su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, così come di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. Occorre inoltre disporre di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.
La pseudonimizzazione, in particolare, sembra particolarmente cara al legislatore europeo che, tuttavia, specifica come la sua esplicita introduzione nel testo non voglia precludere altre forme di protezione. La sua definizione la determina come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
Adottando tale procedimento si può assistere – già di per sé – ad una forte riduzione dei danni che un cyber attacco può provocare ad un sistema informativo. Qualora un criminale informatico ottenga un accesso illegale alle informazioni, queste ultime, se mantenute isolate da quelle che le associano all’interessato, potranno non produrre profitto diretto.
Non è tuttavia solo il principio del by design a far dialogare privacy e lotta al cyber risk. Anche il cosiddetto PIA (Privacy Impact Assessment) previsto nella GDPR, diviene, includendo un’attenta analisi lato informatico, uno strumento vantaggioso per individuare i rischi e operare al fine di prevenirli e minimizzarli. Specifichiamo che non si tratta di un documento di valutazione preliminare obbligatorio per tutte le imprese e per tutti i trattamenti, ma i casi in cui è richiesto non sono certamente residuali.
Questi sono alcuni esempi del nesso che lega una corretta attuazione della data protection ad un’efficiente gestione del cyber risk. E’ compito delle imprese, dei fornitori di servizi e soluzioni trarre il massimo beneficio dalla logica che permea l’assetto normativo europeo sulla protezione dei dati personali: trasparenza, prevenzione, proporzionalità, responsabilità condivisa e formazione d’impresa adeguata ai mezzi utilizzati. Una sistematicità che ben si sposa ai bisogni di sicurezza e tutela del know-how aziendale di cui i dati personali, pur non essendone l’intero, rappresentano spesso una porzione significativa.