Privacy e cybersecurity. Sono temi molto caldi e attuali in questi ultimi anni e sono legati indissolubilmente principalmente per due ordini di motivi.
In primo luogo condividono lo stesso fattore scatenante, ovvero i crescenti processi di digitalizzazione, che coinvolgono ogni settore di attività. In secondo luogo perché la protezione dei dati personali (alla quale ci si riferisce comunemente – sebbene impropriamente – con il termine “privacy”) non può che essere effettiva se non attraverso la difesa del proprio sistema di gestione delle informazioni, sempre più informatico e dematerializzato.
Ma cos’è il “cyber risk” e perché è così importante adottare misure di cybersecurity? Ogni risposta è vana se non è preceduta da riflessioni circa la portata del “cyber space”. Questa locuzione, sempre più in voga per il richiamo estetico e spesso dibattuto del termine “cyber”, si è diffusa perché permette di far riferimento a problematiche che trascendendo quelle prettamente informatiche o di sicurezza delle informazioni costituiscono oggi e sempre minacce alla sicurezza economica, finanziaria, fisica e di riservatezza delle persone: basti pensare che un attacco cyber può, di fatto e non per sentito dire, interrompere l’operatività di centrali elettriche, azzerare il nostro conto in banca e distruggere i dati di un’azienda.
Argomentazioni descrittive e superficiali su questo tema devono lasciare il posto a riflessioni pratiche: il rischio cyber, determinato dal prodotto tra probabilità e impatto/danno di un evento avverso, è oggi più che mai maggiore perché generalmente entrambi i fattori sono aumentati. La probabilità è alta perché ogni dato storico sugli attacchi informatici è in forte crescita, come testimoniato dai rapporti allarmanti del Clusit (Associazione Italiana per la Sicurezza Informatica). L’impatto è aumentato perché gli asset da proteggere si stanno spostando verso il mondo digitale e quindi perdite di riservatezza, integrità e disponibilità di dati hanno di fatto impatti maggiori su business e sicurezza.
A queste considerazioni circa i pericoli che corrono imprese e studi professionali si affiancano le prescrizioni normative e i rischi sanzionatori imposti da varie fonti di legge, tra le quali primeggia l’ormai noto GDPR (General Data Protection Regulation). In termini privacy, attacco informatico può significare data breach, ovvero violazione di dati personali, che a determinate condizioni implica obblighi di comunicazione al Garante della protezione dei dati personali e agli stessi interessati nei casi più gravi.
La cybersecurity ha acquisito maggiore rilevanza grazie al cambio di prospettiva in termini di sicurezza che il GDPR ha imposto. Il regolamento europeo, infatti, ha eliminato le misure minime di sicurezza del recentemente novellato – per non dire stravolto – Codice Privacy (d.lgs. n. 196/2003), superando la dimensione mai attuale e tristemente italiana della ricerca del soddisfacimento di misure di sicurezza che non possono essere fisse e slegate dall’evoluzione tecnologico. Al loro posto ha trovato spazio l’obbligo del titolare o del responsabile del trattamento di mettere in atto «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio» (art. 32, comma 1, GDPR). La disposizione racchiude in poche parole, sapientemente scelte dal legislatore, i temi qui accennati:
- la necessità di tenere in considerazione e valutare il proprio rischio informatico;
- la necessità di scegliere le misure di sicurezza in base al proprio livello di rischio e di documentare tale processo logico;
- la difficoltà di individuare le misure “adeguate” di sicurezza, non più da spuntare su un foglio di carta e diverse da realtà a realtà;
- il collegamento diretto tra sicurezza del business e dei dati personali e sicurezza del proprio sistema informatico e informativo
Per maggiori informazioni e dettagli in materia di privacy di sicurezza informatica, Rama & Pelliccione Studio Associato è a disposizione, nella persona del dott. Filippo Pelliccione, Privacy, Data Protection Officer (DPO) and Information Security Consultant.
* ° * ° *
© riproduzione riservata