E’ ormai noto come la normativa privacy sia strettamente legata alla cyber security. Ai sensi e per gli effetti dell’art. 32, co. 1, del Regolamento Europeo 2016/679, il Titolare del Trattamento (o il Responsabile del Trattamento ove nominato) è infatti chiamato a implementare misure tecniche ed organizzative adeguate. Il livello di sicurezza deve pertanto garantire la protezione da eventuali rischi dovuti dall’esecuzione dei trattamenti svolti.
La norma, senza elencare in maniera esaustiva le misure adottabili, rimanda l’individuazione delle stesse al Titolare del Trattamento oppure, dove nominato, al Responsabile del Trattamento. Come sancito al comma II, è chiamato ad eseguire una valutazione ad hoc del livello di sicurezza di cui necessità, tenendo conto dei rischi – distruzione, perdita, modifica, rivelazione, accesso non autorizzato – derivabili dall’esecuzione dei trattamenti.
Prevedere adeguate misure di sicurezza non riguarda solo la protezione dei supporti fisici. Piuttosto, occorre concentrarsi soprattutto sulla protezione dei sistemi informativi, ovvero la protezione dei supporti immateriali utilizzati per la conservazione e l’archiviazione dei dati e delle informazioni immateriali (presenti in rete).
Cyber Security: la guida ENISA per le PMI
In risposta al recente periodo pandemico, punto di svolta per l’effettiva presa di coscienza sull’importanza di proteggere adeguatamente i supporti informatici, L’ENISA (Agenzia dell’Unione Europeo per la Cybersicurezza) ha elaborato una guida indirizzata alle PMI. I consigli sono comunque applicabili a qualunque altra organizzazione che tratti una mole considerevole di dati personali.
Questa sorta di best practice, pubblicata lo scorso 28 giugno 2021, è costituita di 12 azioni fondamentali per garantire la sicurezza dei propri dati:
- 1. Sviluppo di una cultura sulla cybersicurezza attraverso sensibilizzazione, responsabilizzazione e il coinvolgimento del personale;
- 2. Investire sulla formazione – che richiede d’essere continua;
- 3. Garantire un’adeguata gestione della “Supply Chain” assicurandosi che anche questa agisca nel rispetto di principi fondanti l’impianto normativo;
- 4. Redazione Incident Response in grado di mitigare le conseguenze negative attraverso un’azione tempestiva, adeguata e professionale;
- 5. Proteggere adeguatamente gli accessi ai sistemi informativi;
- 6. Garantire adeguati livelli di sicurezza nella scelta delle protezioni dei dispositivi;
- 7. Garantire adeguati livelli di sicurezza nella scelta delle protezioni della/e rete/i;
- 8. Migliorare la sicurezza fisica delle macchine attraverso controlli nei luoghi di conservazione delle informazioni;
- 9. Eseguire procedure di backup;
- 10. Optare per il cloud (sempre con le cautele del caso);
- 11. Proteggere i siti online;
- 12. Condividere le informazioni.
Attuare tali azioni, tenendo conto del più generale principio di accountability, garantisce un maggiore livello di sicurezza nella gestione e nel trattamento dei dati che, ex art. 32 Regolamento Europeo 2016/679, viene richiesto al Titolare del Trattamento.
GDPR Privacy e Cyber Security: un’unica policy aziendale
Come indicato nella guida ENISA, il punto di partenza per una buona sicurezza informatica è assegnare compiti e responsabilità a del personale competente e opportunamente formato. Tutto questo è da implementare in un contesto più generale di regole e procedure condivise da tutta l’organizzazione.
Definire degli standard e dei codici di condotta comuni permette infatti di mitigare il cosiddetto “fattore umano” (errori, ingenuità, distrazioni), la prima delle vulnerabilità che i cyber criminali attaccano. Sviluppare e aggiornare una policy che abbracci entrambi gli aspetti legati al trattamento dati, privacy e sicurezza informatica, è infatti una best practice fondamentale per la piena conformità normativa e la protezione adeguata delle informazioni.
