GDPR e Cybersecurity: come gestire i rischi informatici

  • GDPR e Cyber Security

Il 2018 é stato caratterizzato da numerosi attacchi informatici subiti da società, enti pubblici, istituzioni e professionisti.
Vale citare, ad esempio, l’ennesima violazione di dati ad opera di Anonymous del 24 dicembre scorso. Vittime degli hacker, in questo caso, sono stati gli archivi di alcuni enti sanitari italiani.

Anche nei primi mesi del 2019, i dati di circa 30.000 dipendenti pubblici dello Stato di Victoria (Australia) sono stati rubati a seguito del download non autorizzato di una directory. In Italia, invece, hanno fatto notizia gli attacchi informatici ai comuni di Carovigno (Brindisi) e Aprilia (Latina).

Questi sono i casi più recenti di una lunga serie di attacchi che, secondo le previsioni proseguiranno anche nei prossimi anni.

Dunque, è fondamentale comprendere come le informazioni gestite da istituzioni, aziende e Studi Professionali siano sempre più vulnerabili.
Uno dei principali obiettivi di compliance da raggiungere, dunque, è, non solo, il consolidamento dei sistemi di protezione, ma anche la capacità di reazione alle minacce cibernetiche.

Al riguardo, con il Regolamento Europeo 2016/679 (GDPR) e con il D.lgs. 101/2018, che ha adeguato la normativa nazionale (d.lgs. 196/2003) al Regolamento Ue, si è posta particolare attenzione al concetto di sicurezza informatica.

GDPR: principio di accountability e misure di sicurezza adeguate

Il GDPR ha introdotto delle importanti novità, richiedendo ai titolari e ai responsabili di adottare delle misure adeguate alla protezione del proprio sistema informatico e dei dati in proprio possesso. Si tratta del cosiddetto principio di accountability, che comporta l’assunzione di responsabilità nell’implementare misure adeguate al rischio specifico dell’organizzazione di cui si è titolari o responsabili.

Al riguardo, l’art. 24 del GDPR, dispone che il titolare ed il responsabile del trattamento devono essere in grado di mettere in atto misure tecniche ed organizzative volte sia a garantire, che a comprovare, il rispetto dei principi applicabili al trattamento dei dati personali.

Per far ciò, dispone il legislatore, occorre tener conto di una serie di elementi, quali:

  • natura;
  • contesto;
  • finalità del trattamento;
  • rischi connessi alle libertà e ai diritti degli interessati.

L’accountability GDPR, tuttavia, non si risolve nella mera “responsabilizzazione”, ma richiede che il titolare ed il responsabile debbano essere in grado, in qualsiasi momento, di:

  • stabilire le misure di sicurezza più appropriate
  • dimostrare di aver protetto i dati in maniera conforme a quanto previsto dal regolamento europeo.

A differenza del passato, il legislatore europeo richiede, nella gestione della protezione dei dati, di adottare un approccio non solo “formale”, ma “sostanziale”. Un approccio che richiede pertanto un cambiamento organizzativo e culturale dell’intera struttura, anche informatica, delle aziende e degli studi professionali.

Scarica il white paper su GDPR Privacy e Cyber Security

Con la piena applicazione del Regolamento Europeo 2016/679 (GDPR) per Aziende e Professionisti è obbligatorio adottare misure tecniche e organizzative adeguate a proteggere
i dati personali. Compila il form e scarica gratuitamente il white paper Alavie dedicato al GDPR e alla Cyber Security.



Sicurezza informatica, privacy e rischi dei trattamenti: facciamo chiarezza

Fermo quanto sopra, l’approccio sostanziale presuppone che le aziende e i professionisti si attivino per proteggere concretamente i propri sistemi informatici, e dunque i dati che trattano.

Il legislatore comunitario richiede che, al fine di garantire la sicurezza delle reti e dell’informazione, il Titolare ed il Responsabile si dotino di misure tecniche ed organizzative adeguate a garantire la sicurezza delle informazioni da trattamenti non autorizzati o illeciti, dalla perdita o ancora dalla distruzione o dal danno accidentali (integrità e riservatezza- v- art. 5, comma 1 GDPR).

Tutti i soggetti che trattano dati, sia le aziende che gli Studi professionali, quindi devono valutare il c.d. rischio informatico, ovvero il rischio di danni diretti ed indiretti che possono derivare dall’uso delle tecnologie all’interno dell’organizzazione (i cui confini, proprio grazie alle nuove tecnologie, si allargano anche a interlocutori esterni).

Ne consegue che, la perdita di dati può essere evitata solo se il Titolare ed il Responsabile abbiano valutato i rischi connessi all’eventuale perdita, alla distruzione accidentale o al furto dei dati affidati dagli interessati. Ciò presuppone che, nella predetta valutazione, ex art. 32 GDPR, sia necessario tenere conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché della probabilità e gravità di eventuali violazioni ai danni dei diritti e delle libertà degli utenti.

Ad ogni rischio corrispondono poi misure di sicurezza specifiche che, come richiesto dallo stesso GDPR, possono comprendere tra le altre:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità, la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento.

Appare evidente, dunque, quanto sia necessario procedere ad un’analisi effettiva e specifica della propria organizzazione per conoscere i rischi ai quali si è esposti.

Cyber Security: come prevenire le minacce informatiche

Essere consapevoli dei rischi informatici, e preparati all’eventuale perdita o, peggio, al furto dei dati, è qualcosa che va ben oltre l’evitare le pesanti sanzioni previste dal GDPR. Riguarda, piuttosto, la protezione del proprio business, dei propri clienti e della propria reputazione sul mercato.

Manager e Professionisti non devono, infatti, solamente conoscere quanto previsto dal GDPR. Rispetto al passato, viene richiesto di adottare un approccio “sostanziale” con la messa in campo di “contromisure” efficaci per limitare rischi specifici, dalla perdita accidentale di dati al cybercrime.

La valutazione del rischio, e l’individuazione dei rimedi, è diventato quindi un processo dinamico e in costante aggiornamento.
La più grande sfida per aziende e studi professionali è anticipare il verificarsi di situazioni critiche e, di conseguenza, trovare soluzioni concrete che possano garantire la sicurezza dei dati e la piena conformità normativa.

Scopri i nostri servizi in materia di GDPR e Privacy

Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.

GDPR e principio di accountability