Perché combattere il cyber risk con la privacy

26/10/2016
di Valentina Frediani

Un approfondimento dell’Avv. Frediani pubblicato su IPSOA in tema di cyber risk e privacy.

Quando si parla di rischio informatico, o cyber risk, è difficile incontrare organizzazioni business completamente inconsapevoli al riguardo. Non solo perché il tema della sicurezza è tra i più discussi, ma perché si accompagna – sempre più da vicino – al progresso tecnologico stesso. Lo sa bene anche l’OCSE che nella nuova Raccomandazione sulla sicurezza digitale e la gestione del rischio (2015) afferma come il rischio per la sicurezza digitale, quale problema di ordine economico e non solo tecnologico, dovrebbe essere integrato nei processi decisionali di ogni organizzazione.

privacy-policy-935619_640Un binomio consolidato, dunque, con il quale fare i conti senza nascondere la testa sotto la sabbia. La contraddizione di molte imprese europee sta invece nel riconoscere l’esistenza di rischi interni ed esterni connessi agli strumenti tecnologici utilizzati, ma nel non produrre una strategia per prevenirli e reagire ad essi in modo efficace e puntuale.

Una situazione schizofrenica destinata, ci auguriamo, a cambiare anche su impulso dei dettami normativi in materia di privacy e sicurezza dei dati a cui il totale delle aziende del Vecchio Continente dovrà adeguarsi entro maggio 2018. Una spinta che, personalmente, ritengo estremamente propizia all’evoluzione del settore ICT, che vedrà coinvolti processi e logiche di domanda-offerta, ben oltre il raggiungimento della compliance alla GDPR (General Data Protection Regulation).

Come influiscono reciprocamente Cyber Risk e Privacy?

Un collegamento diretto esiste già negli obblighi inerenti il concetto di privacy by design proprio rispetto al cyber risk. Attuare una protezione del dato, fin dalla fase di progettazione di un trattamento, impone al Titolare misure tecniche e organizzative adeguate tenuto conto dello “stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità”, come anche dei rischi di varia probabilità e gravità, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.

Una visione con cui è facile prendere confidenza e che – una volta entrata a far parte delle logiche procedurali standard – non potrà che facilitare una migliore analisi di come i dati siano gestiti in azienda. Risulta evidente come pensare alla tutela del dato in questi termini implichi individuare i possibili fattori di rischio ed operare per prevenire quelli informatici che – lo ripetiamo – possono essere esterni ma anche interni, in una misura spesso sottovalutata. Una mappatura accurata dei trattamenti in essere, e delle figure in essi coinvolte, consente di razionalizzare e monitorare con efficacia il flusso dei dati e saper agire tempestivamente in caso di violazioni (data breach).

Qualora si ricorra poi, in parte o del tutto, a soluzioni in outsourcing i responsabili del trattamento saranno a loro volta, se in possesso dei requisiti di idoneità della cui verifica si fa carico il titolare stesso, vincolati a quest’ultimo da precisi accordi contrattuali e – qui sta la novità – alle disposizioni del Regolamento Europeo. Essi dovranno quindi mettere in atto le medesime misure tecniche ed organizzative richieste dalla norma al titolare, al fine di assisterlo nel rispetto degli obblighi previsti.

Quali sono le misure idonee?

Accesso ai dati degli utentiNel testo si offrono numerosi spunti su quali misure siano ritenute più indicate ai fini della sicurezza del dato per limitare danni da cyber risk. In particolare vengono richiesti: pseudonimizzazione e cifratura; la capacità di assicurare, su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, così come di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. Occorre inoltre disporre di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.

La pseudonimizzazione, in particolare, sembra particolarmente cara al legislatore europeo che, tuttavia, specifica come la sua esplicita introduzione nel testo non voglia precludere altre forme di protezione. La sua definizione la determina come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Adottando tale procedimento si può assistere – già di per sé – ad una forte riduzione dei danni che un cyber attacco può provocare ad un sistema informativo. Qualora un criminale informatico ottenga un accesso illegale alle informazioni, queste ultime, se mantenute isolate da quelle che le associano all’interessato, potranno non produrre profitto diretto.

Non è tuttavia solo il principio del by design a far dialogare privacy e lotta al cyber risk. Anche il cosiddetto PIA (Privacy Impact Assessment) previsto nella GDPR, diviene, includendo un’attenta analisi lato informatico, uno strumento vantaggioso per individuare i rischi e operare al fine di prevenirli e minimizzarli. Specifichiamo che non si tratta di un documento di valutazione preliminare obbligatorio per tutte le imprese e per tutti i trattamenti, ma i casi in cui è richiesto non sono certamente residuali.

Questi sono alcuni esempi del nesso che lega una corretta attuazione della data protection ad un’efficiente gestione del cyber risk. E’ compito delle imprese, dei fornitori di servizi e soluzioni trarre il massimo beneficio dalla logica che permea l’assetto normativo europeo sulla protezione dei dati personali: trasparenza, prevenzione, proporzionalità, responsabilità condivisa e formazione d’impresa adeguata ai mezzi utilizzati. Una sistematicità che ben si sposa ai bisogni di sicurezza e tutela del know-how aziendale di cui i dati personali, pur non essendone l’intero, rappresentano spesso una porzione significativa.

Riproduzione riservata ©

ALTRE NEWS

Timbratura tramite smartphone? Sì, ma occhio alla privacy

Oggigiorno si assiste alla diffusione e alla progettazione di nuovi strumenti che possono accelerare il lavoro nelle aziende e diminuire gli scarti e le perdite…. Leggi Tutto

Individuazione del Foro del Consumatore nei contratti proposti via internet

Sempre più frequentemente ci si trova a scegliere su internet la meta in cui trascorrere le vacanze, e a chiunque sarà capitato, almeno una volta,… Leggi Tutto

Cybercrime ed aziende: il social engineering

L’innovazione digitale per le aziende ha rappresentato, e tuttora rappresenta visto l’elevatissimo tasso di sviluppo imposto dal mercato e dal contesto tecnologico in cui le… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form