Più il mondo si converte al digitale, più la sicurezza sui dati, personali, aziendali, di processo, diventa un impegno forte e necessario. E non si tratta di un nuovo modulo per la raccolta del consenso informato da parte dei soggetti contenuti nel nostro database. Qui si fanno i conti con il cyber crime, una seria minaccia globale per cui nessuno può dirsi al sicuro. Il nuovo regolamento generale sulla protezione dei dati è un protocollo di cyber security, adeguarcisi correttamente - e non solo formalmente - implica una seria comprensione del grado di rischio presente nella propria impresa con una attenta analisi dei processi, dei dati e delle attività potenzialmente da proteggere dalle cyber crime activity, ransomware, malware e compagnia sono più frequenti di quanto non si dica.
Meno male, ho un hacker in ufficio
Secondo una ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano, la spesa italiana per la sicurezza di dati e processi - circa 1,09 miliardi di Euro nel 2016 - è in crescita, trainata dai progetti di adeguamento al GDPR. Un’impresa su due sta investendo in un progetto di adeguamento alla normativa UE, che prescrive l’adozione di misure per la sicurezza del trattamento dei dati conformi in tutta la Unione Europea, richiamando le azienda a un principio di responsabilizzazione, accountability in inglese. Sono infatti i titolari del trattamento a definire modalità e attività utili all’obiettivo di sicurezza. Come si può intuire, è un intervento strutturale più che di adeguamento normativo, ma risponde a un nuovo bisogno delle imprese: la sicurezza del proprio universo di business. L’affermarsi dei sistemi in cloud, mobile, delle App, alza il livello di guardia, e di rischio. Nuove professionalità si rendono necessarie, spunta la figura del CISO - Chief Information Security Officer o il Security Analyst che valuta la vulnerabilità di reti, apparati, applicazioni e servizi; o dell’ ethical hacker, che testa la vulnerabilità dell’azienda con attività di hackeraggio controllato.
Il nuovo GDPR viene applicato a tutte le imprese, anche con sede fuori dal territorio UE, che nella loro attività gestiscono o trattano dati personali di residenti nel territorio europeo. La normativa, secondo il principio dell'accountability, come già detto, affida al Titolare del trattamento dati la massima responsabilità - e autonomia - nel gestire la raccolta dei dati in modo lecito, corretto e trasparente. Ogni azienda deve fare una valutazione d’impatto, il DPIA, Data Protection Impact Assesment, un' analisi sui rischi di vulnerabilità dei propri sistemi e processi che risulta necessaria per l’adozione di adeguati trattamenti. Ogni azienda deve nominare un Responsabile della Protezione Dati -RPD- secondo le indicazioni del GDPR, aziende con più di 250 dipendenti devono istituire il registro delle attività di trattamento, un documento in cui elencare nel dettaglio le attività compiute con dati relativi a dipendenti, fornitori, partner e clienti, in particolare specificando le finalità del trattamento, le categorie dei dati e degli interessati, eventuali trasferimento di dati verso paesi terzi e misure di sicurezza adottati. In caso di data breach, cioè una violazione dei dati personali, il titolare ha il dovere di comunicarlo al Garante della Privacy entro 72 ore dalla scoperta. Nel caso la violazione costituisca pericolo per la libertà e i diritti degli interessati, il titolare dovrà fornire agli stessi adeguata comunicazione. Se lo scopo è condivisibile e la percezione del problema è diffusa ( 74% del campione di indagine dell'Osservatorio), le differenze di risorse a disposizione per adeguarsi al nuovo GDPR, intuitivamente sono a sfavore delle PMI. Secondo i professionisti del settore security intervistati, in generale gli interventi su cui le aziende dovrebbero concentrarsi sono : la formazione del personale (51%), la definizione di ruoli e responsabilità specifiche (44%) e la creazione di un team dedicato (36%). Per maggiori informazioni: GDPR Garante della Privacy.
