(Un)Prepared to face cyber attacks: costruire solide difese
- Posted by Matteo Milanesi
- On 26 Gennaio 2021
- 0 Comments
Informativa, registri, valutazione d’impatto e non solo: come sfruttare al pieno delle loro potenzialità preventive e programmatiche gli strumenti messi a nostra disposizione dalla normativa.
Con l’entrata in vigore del regolamento UE 679/2016, che ha introdotto alcune fondamentali novità rispetto al nostro codice privacy – al fine di una più uniforme e sempre maggiore tutela dei dati personali – la gestione della privacy aziendale è diventata una questione di non poca rilevanza.
Nel nostro paese, la ventesima edizione della EY Global Information Security Survey, intitolata “Cybersecurity regained: preparing to face cyber attacks” rileva che siamo molto indietro in termine di prevenzione (il 61% dei top manager delle aziende attive sul mercato italiano non ha un programma di intelligence per anticipare possibili minacce dall’esterno) e sulla gestione efficace dei rischi (il 58% segnala un livello di maturità poco adeguato in materia di protezione dei dati personali e il 71% sul versante della consapevolezza e della formazione in tema di sicurezza delle informazioni). Non va meglio sul fronte della reazione: il 63% degli intervistati in Italia dichiara di non avere una strategia di comunicazione predefinita e un piano nel caso in cui l’azienda sia sottoposta ad un attacco informatico con relativa perdita o sottrazione di dati.
Le aziende che comprendono il panorama delle minacce e si concentrano sulla sicurezza sin dalla progettazione e la predisposizione dei processi e della documentazione necessaria, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace.
Il D.P.O. e l’informativa privacy
Oltre ai codificati principi di accountability e di privacy by design e by default che dovrebbero reggere l’intero sistema del trattamento dei dati, il Reg. UE 679/2016 ha regolato anche la creazione di nuove figure: tra queste, il Responsabile del trattamento dei dati (DPO – Data Protection Officer) definito dall’art. 28 come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento”.
Il Responsabile viene designato con un contratto o altro atto giuridico e opera in stretta relazione con il titolare del trattamento ed a lui risponde direttamente. Titolare e Responsabile sono congiuntamente tenuti a redigere il registro delle attività di trattamento: questo deve avere forma scritta, anche elettronica, e deve contenere le informazioni specificamente individuate dall’art. 30 del GDPR. La tenuta del registro è una delle principali espressioni del principio di accountability, non solo perché permette di valutare i trattamenti svolti, ma anche per effettuare una ricognizione degli stessi diventando così anche strumento propedeutico e preliminare ad un’analisi del rischio e alla programmazione delle attività di trattamento. In aggiunta al sopra citato registro dei trattamenti, il DPO è tenuto anche alla compilazione di un ulteriore registro in relazione alle attività svolte per conto del titolare.
Come dicevamo questi registri, la cui tenuta è nei casi previsti obbligatoria, se compilati con la dovuta diligenza, possono diventare strumento fondamentale per un’analisi retrospettiva e per una valutazione prospettiva: guardando i successi e gli insuccessi passati si può procedere alla creazione di un sistema corretto di gestione dei dati e del flusso di informazioni – di cui i registri sono parte integrante – aderente alla propria realtà e alle proprie esigenze.
In questo sistema di gestione rientra anche l’informativa privacy, fondamentale strumento di informazione. Già presente nel precedente impianto normativo, le modifiche più importanti riguardano la previsione, tassativa, dei suoi contenuti ad opera dell’art. 13 del Regolamento: dati di contatto del DPO, base giuridica del trattamento, periodo di conservazione dei dati, eventuale trasferimento dei dati in paesi terzi, sono solo alcuni degli elementi essenziali ai fini della sua validità. Ne vengono inoltre meglio delineate le caratteristiche: questa deve essere concisa, trasparente, intellegibile e facilmente accessibile per l’interessato. La forma scritta è preferibile, ma non obbligatoria.
L’informativa, nell’accezione più comune del termine, viene identificata come quella rivolta al cliente del quale stiamo raccogliendo i dati, ma, in senso più ampio è rivolta a qualsiasi soggetto dei cui dati entriamo in possesso e trattiamo o trasmettiamo a terzi, come per esempio i dipendenti e i nostri fornitori; pertanto, al fine di mettersi al riparo da possibili contestazioni e reclami, è opportuno che i titolari del trattamento verifichino che le “vecchie” informative utilizzate rispondano ai criteri indicati nel GDPR.
La valutazione d’impatto
Altra importante novità introdotta e regolata dal GDPR è la valutazione d’impatto privacy (o DPIA – Data Privacy Impact Assessment): questa deve essere effettuata ogni qualvolta un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate. L’art. 35 del Reg. UE 679/2016 indica i casi in presenza dei quali la DPIA è obbligatoria, ma il titolare e il responsabile della protezione dei dati possono decidere di procedervi anche dal di fuori dei casi tassativamente elencati dalla norma, trasformandola così in una best practice aziendale in applicazione, non solo del principio di accountability, ma anche e soprattutto della privacy by design.
La DPIA deve contenere, almeno, la descrizione sistematica dei trattamenti previsti, le finalità del trattamento – compreso l’interesse legittimo perseguito dal titolare – la valutazione dei rischi, le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati.
Analizzando i suoi contenuti possiamo comprendere come la DPIA – come precedentemente detto per il registro del trattamento – si riveli, se adeguatamente effettuata, un ottimo strumento non solo di tutela, ma anche di valutazione dei processi aziendali permettendo in tal modo di evidenziare eventuali lacune o inadeguatezze del sistema riducendo il rischio che vengano scoperti in uno stadio avanzato del trattamento, permettendo così di introdurre preventivamente le opportune misure di controllo.
Seguire gli aggiornamenti pubblicati dalle Autorità Garanti può essere un grande supporto per chi si occupa della protezione di dati: queste non solo vigilano sull’applicazione delle previsioni normative, ma si occupano anche di sensibilizzare e informare tutti, non solo gli addetti ai lavori.
Valutazione d’impatto, informativa privacy, Responsabile del trattamento dei dati, come abbiamo visto numerosi sono gli strumenti a nostra disposizione per metterci al riparo da possibili minacce e/o contestazioni in materia di privacy; strumenti che, se correttamente utilizzati, possono non solo fungere da difesa preventiva ma anche da indirizzo per le azioni future mostrando così anche la loro utilità programmatica.