Transizione digitale e prospettive di tutela del dato

22 giugno 2022
Tempo di lettura stimato: 7'
La pandemia ha accelerato la transizione verso il digitale e quindi anche verso il trattamento digitale dei dati personali

Ma in parallelo c’è stata anche un’accelerazione della protezione dei dati o invece i rischi sono aumentati? 

Se ne è parlato nel corso dell’evento FUTURE OF DATA organizzato da MigliorAttivaMente, l’associazione fondata da Andrea Chiozzi, CEO di PrivacyLab, insieme ad altri professionisti del settore. Fra questi, Giulia Bertaiola, Avvocato, che ha intervistato Michele Iaselli, Presidente dell'Associazione Nazionale per la Difesa della Privacy (ANDIP), proprio sul tema della transizione digitale. 

Leggi l’estratto del loro scambio. 

La pandemia ha innescato un’accelerazione verso la digitalizzazione, ma anche un’impennata delle violazioni…

Avvocato Bertaiola: La transizione al digitale è un processo in corso da anni, ma questa pandemia ha dato un'accelerata e ha affrettato i tempi in cui ciascuno - sia esso cittadino, ma anche le organizzazioni più complesse - si è approcciato al mondo del digitale. Forse questo ha colto diversi un po' impreparati, almeno da quanto riportano i media. Come ANDIP avete assistito a un aumento delle violazioni dei dati personali denunciate al Garante? E quali sono i suggerimenti per fronteggiare queste eventualità?

Professor Iaselli: Il nostro osservatorio ha sicuramente registrato una grande preoccupazione, soprattutto tra i cittadini, che spesso hanno ricevuto comunicazioni da parte di enti e società che hanno subito delle violazioni. Comunicazioni che lasciano paventare la possibilità che i loro dati siano stati oggetto di furti, alterazioni e altri problemi. Sono eventualità che, specialmente nel caso di dati molto delicati, come per esempio le credenziali delle carte di credito, determinano una grande preoccupazione

Le segnalazioni di data breach sono aumentate in modo esponenziale, ma non tutti gli incidenti informatici sono violazioni 

Professor Iaselli: Negli ultimi tempi queste segnalazioni sono aumentate in modo esponenziale, anche in seguito ad attività di notifica da parte delle organizzazioni, che sono state piuttosto numerose. Anche se il Garante è stato molto chiaro e addirittura ha previsto una procedura di autovalutazione sul proprio sito, forse sarebbe il caso di ribadire che non tutti gli incidenti di natura informatica dovrebbero essere oggetto di data breach specifico e di procedura di segnalazione al Garante, ma si deve configurare una violazione in materia di protezione dei dati personali.

Sarebbe innanzitutto opportuno capire che non bisogna aspettare l'incidente per predisporre un'attività di gestione del data breach, ma bisogna prepararsi prima. Quindi un processo decisionale di gestione dell'attività va svolto innanzitutto in una situazione di tranquillità

Per gestire un data breach bisogna agire prima che si presenti, a mente fredda e in tranquillità

Professor Iaselli: Vanno definiti con particolare cura tutti i processi che contraddistinguono l'attività di data breach, proprio per evitare quegli attacchi di improvvisazione e di panico che poi portano inevitabilmente a notifiche. Notifiche che presentano tantissimi difetti e che quindi costringono la stessa autorità a dover chiedere ulteriori notizie. Infatti, data la necessità di dover procedere entro 72 ore, arrivano delle notifiche particolarmente deficitarie di elementi che invece sono importanti per il Garante.

Dunque, innanzitutto, bisogna:
  • Definire un'attività da seguire per prevenire un data breach, che richiede tempo e calma. 
  • Partire da una prima definizione chiara di policy aziendale, che deve quindi prevedere anche una specifica organizzazione e formazione dei dipendenti. 
  • Valutare periodicamente anche le vulnerabilità del sistema informatico, effettuare test, che devono essere anche di social engineering
  • Prestare attenzione anche alla sicurezza informatica, che richiede un costante monitoraggio, un aggiornamento dei sistemi, la redazione di una politica rigida anche sulla gestione delle password.
  • Individuare degli step, delle fasi distinte.
Una valutazione iniziale deve riguardare la notizia dell’incidente, proprio per stabilire se si è verificata un'effettiva violazione o se sia necessario procedere con un'indagine più approfondita dell'accaduto, che magari preveda anche il coinvolgimento del DPO, qualora sia previsto.

Appurato che la violazione c’è stata, come bisogna agire?

Professor Iaselli: Nel caso in cui si tratti di una violazione di dati personali, allora il titolare del trattamento dovrà coinvolgere i soggetti preposti al sistema informatico e quindi anche l'amministratore di sistema per una valutazione. E sarà una valutazione che dovrà esaminare tutta una serie di elementi: 
  • la data della scoperta della violazione, 
  • il soggetto che è venuto a conoscenza della violazione specifica, 
  • la descrizione dell'incidente, 
  • le categorie di interessati coinvolti, 
  • l'eventuale descrizione di azioni che sono già poste in essere.
Poi abbiamo la seconda fase, che è quella del contenimento, anche di recovery, di risk assesment

Una volta stabilito che il data breach è avvenuto, il titolare del trattamento, insieme al DPO, dovrà stabilire se sono possibili azioni che possono limitare i danni legati alla violazione. Notificate tali azioni, dovrà definire quali siano i soggetti che devono agire per contenere effettivamente la violazione e se sia necessario procedere alla notifica di questa all'autorità Garante - ciò accade quando la violazione presenti un rischio per i diritti e le libertà delle persone fisiche -, e se poi è necessario comunicare la violazione agli interessati.

Questa è una fase più delicata, perché, quando ci troviamo di fronte a un elevato rischio per i diritti e le libertà delle persone fisiche - per il fatto stesso che possono essersi verificati dei danni, che il titolare del trattamento non è convinto di essere riuscito a evitare e quindi a prevenire - è chiaro che tale comunicazione presenta delle ricadute in termini di immagine nei confronti dell'ente o della società di riferimento che sono piuttosto gravi.
  

La violazione va documentata sempre

Professor Iaselli: Un'ultima fase importante è la documentazione della violazione. È anche opportuno che si vada a predisporre un registro specifico, che potremmo chiamare registro dei data breach. Indipendentemente dalla valutazione riguardo alla necessità di procedere o meno alla notifica all'autorità Garante, in questo registro si potrebbero andare ad annotare tutti gli incidenti che, in qualche modo, hanno coinvolto quella realtà organizzativa.

Nella maggior parte dei casi si parla di incidenti di candidatura informatica e non è detto che portino a una notifica all'autorità Garante, ma è sempre meglio annotarlo in questo registro, nel rispetto di uno dei principi più importanti del Regolamento europeo, che è quello dell'accountability.

La maggior parte degli incidenti è di natura informatica. Dipende dalla bravura degli hacker o dalla scarsa consapevolezza?

Avvocato Bertaiola: Riscontro un dato di realtà che ritrovo anche io nella mia attività professionale, e cioè che gli incidenti che riguardano la violazione dei dati personali hanno ormai natura sempre più informatica. 

Una volta accadeva che venisse copiato il documento con dentro il dato sensibile, accade tuttora, però è sempre più frequente che gli attacchi provengano dall'esterno, spesso e volentieri da soggetti appartenenti a organizzazioni che si rifanno alla criminalità organizzata. Quanto la crescita del fenomeno è da imputare a una ritrovata bravura dei criminali o quanto piuttosto a una scarsa cultura aziendale nella gestione dei dati? Oppure in uno scarso livello tecnologico e informatico a cui le aziende ancora oggi si sono attestate? Forse anche colte impreparate dalla pandemia, che negli ultimi due anni ha costretto molti lavoratori in smart working e all'utilizzo di reti personali, e quindi a una protezione delle infrastrutture inadeguata agli attacchi che possono provenire dall'esterno.

Professor Iaselli: Negli ultimi tempi è cresciuta sicuramente l'attenzione di tutte le problematiche di sicurezza informatica. Dobbiamo dire grazie alla pandemia e alla necessità di lavorare sempre di più con le piattaforme e con modalità di lavoro diverse, appunto lo smart working, che richiedono l'utilizzo dello strumento informatico.

Questo ovviamente ha portato a focalizzare l'attenzione sugli aspetti di sicurezza da parte, innanzitutto, degli enti, che quindi hanno iniziato a comprendere come sia importante la sicurezza informatica, associata a un'attività maggiore di digitalizzazione o comunque di natura informatica. Ma, nello stesso tempo, si è iniziato a comprendere che vi sia una sorta di responsabilizzazione da parte degli stessi dipendenti e quindi di formazione specifica in materia, quanto meno per acquisire consapevolezza sugli aspetti inerenti il trattamento informatico dei dati personali. 

È ovvio che non si richiede che il dipendente diventi improvvisamente un esperto di sicurezza informatica. Quello che però stiamo scontando è proprio il fatto che spesso accade che società anche di una certa importanza non investano quanto è necessario nella sicurezza informatica. Lo ritengono ancora un investimento non degno di essere effettuato e questo chiaramente rappresenta una grave lacuna, che denota non solo delle violazioni di principi fondamentali - principio di responsabilizzazione, principio di accountability - ma, nello stesso tempo, fa comprende come, ancora oggi, ci sia quella tendenza a voler risparmiare su aspetti che invece sono da ritenere veramente molto importanti.

Anche il fronte della formazione ai dipendenti è rimasto, fino a qualche tempo fa, molto scarso.

Ultimamente anche la nostra associazione [ANDIP ndr] viene coinvolta per svolgere delle attività formative. E questo mi fa molto piacere, perché significa che i titolari del trattamento, finalmente, stanno comprendendo che diventa fondamentale fare in modo che ci sia un'attività formativa degna di essere definita tale. Perché molti enti e società finiscono per soddisfare questa esigenza con dei pacchetti preconfezionati comprati online che, sinceramente, detto tra noi, lasciano il tempo che trovano, e anche lì dobbiamo stare attenti a capire di che tipo di formazione stiamo parlando.  

Cerchi una formazione diversa dai soliti pacchetti preconfezionati? 

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.


RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy