Cosa cambia nel trattamento dei dati
Il Cyber Risk è un fattore altamente pervasivo nell’attività privata e nel business: per i detentori di informazioni telematiche il nuovo regolamento europeo sul trattamento dei dati personali introduce importanti cambiamenti
22/12/2016
PRIMA PARTE
Il 25 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento 2016/679 del Parlamento e del Consiglio Europeo, che ha introdotto nuovi principi sul trattamento dei dati personali e sulla loro libera circolazione all’interno e fuori dall’Unione.
La nuova normativa avrà notevole impatto sul risk management di tutti i soggetti che gestiscano dati a qualsiasi titolo, ma non è questa la sola ragione per cui quest’argomento risulta oggi al centro dell’attenzione dei media e degli esperti del settore assicurativo.
La tecnologia, infatti, ha radicalmente mutato il nostro modo di pensare e lavorare, dilatando lo spazio che ci circonda oltre i confini delle nostre case o aziende, ed elevando i rapporti e le interazioni tra gli individui su un piano che prescinde dalla località in cui essi si trovino, dando loro accesso a un mondo che è, per definizione, senza confini.
Inebriati dalle infinite opportunità che il cyber-spazio ci offre, tendiamo quindi a sottovalutare i pericoli insiti nel nuovissimo stile di vita che si è ormai imposto in tutti i settori della società, al quale alcuni di noi fanno forse fatica ad adattarsi, ma che i più giovani, cosiddetti millennials, sembrano vivere in completa e naturale simbiosi.
UNA MATERIA DELICATA
Materia prima ed elemento portante di questo cosmo, nel quale dialoghiamo in ogni momento tramite smartphone e tablet, non solo tra individui e gruppi di persone, ma anche con gli elettrodomestici di casa, i computer dell’ufficio e le macchine produttive aziendali, sono i dati.
Lunghissime file di questi elementi intangibili si muovono da ogni angolo del cyber-spazio, trasportando molecole di informazioni che si raggruppano e organizzano, ordinando agli strumenti che ci circondano di compiere le operazioni che sostanziano il nostro vivere quotidiano: acquistare oggetti e servizi, impostare e accendere in remoto un elettrodomestico a casa o un macchinario in una filiale lontana, comunicare, apprendere, lavorare, divertirsi, muoversi.
Ma questa materia, così duttile e sfuggente, è delicata: essa può essere violata, trafugata e manipolata con intenti criminosi, o semplicemente danneggiata e distrutta per un errore umano o per disattenzione.
IL DATA BREACH È CASO COMUNE
È dunque questo che intendiamo per violazione di dati, o data breach: un evento in cui dati sensibili e informazioni personali, mediche o finanziarie vengono potenzialmente messi a rischio. All’origine delle violazioni di dati possono trovarsi le frodi informatiche (attacchi dolosi), ma anche problemi tecnici ed errori umani: in ogni caso, le conseguenze per le vittime possono essere rilevanti e i danni assai cospicui, dalla perdita di profitto ai costi di recupero dei sistemi, al danno reputazionale.
Anche i danni causati a terzi possono essere ingenti: è possibile, infatti, che si debbano fronteggiare azioni collettive per risarcire i propri clienti per le conseguenze delle violazioni subite, o che gli amministratori delle società titolari del trattamento subiscano richieste di risarcimento da parte degli investitori, per aver omesso di porre in atto le strategie necessarie a evitare le violazioni e le perdite a esse conseguenti.
I soli costi di difesa in seguito a violazioni o perdita di dati possono essere altissimi, e includono spese legali e di consulenza a vari livelli, nonché le spese sostenute per informare i clienti di quanto accaduto e delle azioni correttive eventualmente intraprese, senza contare multe e ammende previste dalla legge.
Secondo l’ultimo report Breach Level Index di Safe Net-Gemalto, sarebbero più di 5,3 miliardi i dati persi o trafugati dal 2013 a oggi: più di 3,8 milioni al giorno e 2.600 ogni minuto. Si tratta di una vera e propria emorragia, porre freno alla quale è impresa davvero titanica. Circa il 40% delle violazioni avrebbero origine dolosa, ma la restante parte si divide equamente tra guasti nel funzionamento dei sistemi e semplice errore umano.
NORMATIVE VECCHIE E NUOVE
In ogni caso, per garantire la sicurezza dei dati personali, ovvero di tutte quelle informazioni che sono riconducibili a una persona, sono previste ormai da tempo precise regole e tutele giuridiche.
Questa normativa articolata e complessa si è evoluta in tre tappe essenziali:
I. la Direttiva comunitaria 95/46/CE ha fissato i principi generali in materia di libera circolazione dei dati personali all’interno del territorio europeo;
II. le Direttive Comunitarie 2002/58/CE e 2009/136/UE, relative al trattamento dei dati personali e alla tutela della vita privata nell’ambito delle comunicazioni elettroniche, hanno poi introdotto precise regole sulla raccolta on line dei dati personali e sull’uso dei cookies;
III. il Regolamento 2016/679 del Parlamento e del Consiglio Europeo, del 27 aprile 2016, ha infine abrogato e sostituito la precedente Direttiva 95/46/CE, introducendo nuovi principi sulla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla loro libera circolazione.
Il nuovo Regolamento diventerà pienamente operativo in tutti i paesi membri il 25 maggio 2018, due anni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea.
I suoi effetti, però, si produrranno assai prima di tale termine, poiché sarà compito dei Garanti nazionali favorirne l’armonizzazione, anticipando in ciascun paese parti significative della riforma.
NOVITÀ CHE RIGUARDANO TUTTI
La nuova normativa interessa qualsiasi soggetto, si tratti di aziende o di individui, che debba in qualunque modo gestire, conservare, trasferire o trattare dati personali, il che, al giorno d’oggi, coinvolge praticamente tutti.
Inoltre, il diritto applicabile all’interno dell’Unione Europea viene esteso anche al trattamento dei dati personali effettuato al di fuori di essa, purché relativo all’offerta di beni o servizi a cittadini UE. È questa una vera rivoluzione, poiché finora valeva il principio per cui la normativa applicabile era quella del luogo in cui aveva sede il Titolare del trattamento.
Social network, piattaforme web (anche in modalità cloud) e motori di ricerca saranno pertanto soggetti alla normativa europea, anche se gestiti da società con sede fuori dall’Unione.
Altre novità piuttosto rilevanti riguardano:
• l’obbligo di definire i tempi di conservazione dei dati e di indicarne la provenienza, in caso di utilizzo;
• l’obbligo di comunicare tempestivamente al Garante qualsiasi violazione dei propri database;
•l’obbligo di predisporre un documento di valutazione del rischio inerente il trattamento di dati personali e di garantire, con adeguati presidi organizzativi, l’accountability del soggetto che li tratta, in materia di protezione dei dati.
In sostanza, la gestione dei dati personali non costituisce più solo un adempimento per l’azienda, ma diviene un processo che incide profondamente sulla sua organizzazione, attraverso l’individuazione di due figure chiave: il Titolare e il Responsabile del trattamento.
NUOVI RUOLI E RESPONSABILITÀ
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del contesto e delle sue finalità, il Titolare e il Responsabile del trattamento sono tenuti a porre in atto tutte le misure necessarie a garantire un livello di sicurezza adeguato al rischio costituito dal trattamento dei dati personali.
Tra queste, la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la flessibilità dei sistemi e dei servizi di trattamento e di ripristinare tempestivamente l’accesso ai dati personali, in caso di incidente tecnico.
Il Titolare e il Responsabile del trattamento devono inoltre garantire che chiunque agisca sotto la loro autorità e abbia accesso a dati personali sia regolarmente istruito in tal senso.
In caso di necessità, è prevista una consultazione dell’Autorità di controllo, qualora la valutazione dell’impatto del trattamento implichi un’elevata percentuale di rischio. Sarà quindi necessario elaborare un sistema documentale di gestione della privacy, attraverso l’istituzione obbligatoria di un Registro del trattamento dei dati, grazie al quale tutte le operazioni effettuate siano tracciabili e documentabili.
È questo il principio di rendicontazione (o di accountability), secondo cui il Titolare deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, in modo da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni del Regolamento.
Al Titolare è richiesto di effettuare un’adeguata analisi dei rischi e di documentarla, incorporando i principi della privacy fin dalla progettazione dei processi aziendali e degli applicativi informatici, per garantire che siano trattati in automatico solo i dati personali necessari per ciascuna finalità specifica del trattamento, secondo i principi della Privacy by design e Privacy by default introdotti dal Regolamento, e impedendo eventuali abusi nell’utilizzo di tali informazioni.
Il Regolamento introduce inoltre la figura del “Responsabile per la protezione dei dati” o Data Privacy Officer (DPO).
Non si tratta di un semplice responsabile, ma a tutti gli effetti del manager del trattamento dei dati, una nuova figura professionale che deve possedere ampie competenze (giuridiche, informatiche, organizzative..) per svolgere un’attività che, al di là del semplice controllo formale, sia il supporto strategico per le decisioni operative del Titolare.
Il DPO è il referente diretto del Garante e può essere un soggetto interno o esterno rispetto all’azienda. La sua nomina, che dura normalmente quattro anni, è obbligatoria per le Autorità e gli organismi pubblici e per tutte le imprese che trattino i dati di un rilevante numero di persone, ovvero tipologie di dati che per loro natura e finalità siano considerate a rischio dalla normativa.
SECONDA PARTE
Come è stato anticipato nella prima parte di questo articolo, il Titolare deve effettuare una valutazione dell’impatto del rischio privacy, o Privacy Impact Assessment (PIA), fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, in tutti i casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.
Il PIA deve quindi prevedere:
1. l’analisi dei rischi;
2. l’identificazione delle eventuali problematiche per la loro corretta gestione;
3. l’Action Plan previsto per la risoluzione di tali problemi;
4. il controllo annuale degli interventi effettuati per ridurre i rischi.
In caso di violazione, il Titolare ha l’obbligo di darne nota al Garante entro 72 ore dal fatto e, qualora la violazione stessa possa comportare dei danni per i diretti interessati, di segnalarla anche a questi ultimi senza ritardo.
La questione non è di poco conto: secondo uno studio del Ponemon Institute, occorrono in media 205 giorni per identificare una falla nei sistemi di sicurezza e molti soggetti si rendono conto dell’avvenuta violazione solo dopo che gli autori della stessa si sono fatti avanti con eventuali tentativi di estorsione.
Nel luglio del 2014, ad esempio, un attacco di hacker alla Bce ha causato la sottrazione di migliaia di indirizzi e dati personali di cittadini europei: questo attacco, però, è stato scoperto solo quando gli autori hanno contattato la banca per chiedere un riscatto.
Inoltre si stima che ogni giorno vengano scoperti più di 300 mila varianti di malwares, ovvero di programmi creati con lo scopo di eseguire attacchi specifici per distruggere dati, rubare informazioni e perfino compromettere l’attività delle vittime.
SANZIONI PESANTI
Gli obiettivi degli attacchi, infatti, possono essere disparati, dalla semplice diffusione (accesso ai sistemi per propagazione massiva, come accade per lo spam), al cybercrime (furto di dati per trarne vantaggi politici, economici o finanziari), dall’hactivism (diffamazione di organizzazioni o divulgazione di dati riservati) al furto di identità (sottrazione di informazioni personali dei cittadini), fino al danneggiamento vero e proprio degli affari di una compagnia, in seguito a distruzione o cancellazione dei suoi dati.
Una tale varietà e complessità di intenti rende estremamente difficile l’individuazione tempestiva degli attacchi e costituisce ora un serio pericolo per il Titolare del trattamento, se non dovesse denunciarli nei tempi previsti.
Le sanzioni applicate dai Garanti in caso di perdita dei dati, infatti, diventano molto più significative:
• fino a 20 milioni di euro per i privati e per le imprese non facenti parte di gruppi;
• fino al 4% del fatturato consolidato complessivo per i gruppi societari.
Si tratta di importi molto cospicui, giacché queste ammende sono pensate per incidere sulla condotta dei grandi gruppi che trattano dati in diverse aree geografiche e spesso cercano di individuare veri e propri paradisi legali, per eludere le norme e i criteri definiti dalle nazioni più rigorose sul trattamento dei dati personali.
SERVONO MODELLI ORGANIZZATIVI EVOLUTI
Attraverso l’imposizione del Privacy Impact Assessment le Autorità di controllo incoraggiano l’istituzione di meccanismi di gestione del rischio e di certificazione delle procedure per la protezione dei dati, allo scopo di dimostrare la loro conformità al Regolamento.
L’adesione a un codice di condotta o a un meccanismo di certificazione approvato può dunque essere utilizzata come elemento per dimostrare la conformità ai requisiti di sicurezza. È sempre più evidente, infatti, come i dati personali costituiscano una nuova materia prima in grado di generare ingenti guadagni o perdite per le imprese, e che va dunque gestita con modelli organizzativi evoluti ed efficienti.
In particolare i Titolari possono iniziare il percorso preparatorio alla certificazione, sottoponendo le loro aziende a valutazioni dei processi sulla base di protocolli di certificazione già esistenti, come il protocollo BSI:10012 per la gestione delle informazioni personali, che realizza processi per la corretta gestione della privacy, o il protocollo EuroPriSe (European Privacy Seal), basato sulla direttiva 95/46.
PIÙ SICURI SE C’È FORMAZIONE
Un’efficace strategia di protezione e mitigazione dei rischi inizia sempre dalla formazione.
Oggi più che mai, infatti, sono gli utenti a rappresentare l’anello debole della sicurezza, all’interno di un’organizzazione.
Secondo uno studio di Microsoft, il 23% dei messaggi elettronici contenenti tentativi di phishing (tipo di truffa, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale) viene aperto.
L’11% delle vittime apre quindi il link solitamente allegato in questi messaggi, concedendo di fatto pieno accesso agli hacker: nel 60% dei casi l’attacco ha successo in pochi minuti.
Sfortunatamente, infatti, la maggior parte delle aziende usano metodi antiquati per rilevare le infezioni da malware, in quanto la maggior parte dei sistemi sono configurati in modo da consentire l’esecuzione di un processo informatico prima ancora che il sistema di monitoraggio (basato sul riconoscimento della firma o impronta del malware) rilevi l’evento come un attacco.
In pratica, solo dopo l’entrata in funzione del malware, il sistema anti-malware interviene per ripulire il computer e assicurarsi che l’infezione non si ripeta. Questa è la ragione principale per cui, secondo Symantec, gli antivirus sarebbero oggi in grado di individuare non più del 45% degli attacchi provenienti da hacker.
C’è da notare, inoltre, che questi ultimi eseguono sempre più spesso attacchi di tipo avanzato, definiti Advanced Persistent Threats (APT o minacce persistenti avanzate), grazie ai quali, una volta entrati nella rete bersaglio, ne sfruttano gli strumenti di sistema e persistono al suo interno anche per anni, rendendo estremamente difficili e costosi i processi di disinfezione.
LO STATO DELL’ARTE IN ITALIA
La situazione nel nostro Paese risulta essere particolarmente grave.
Uno studio effettuato nel 2014 dal Ponemon Institute sulle violazioni dei dati in Italia, ha rivelato come il settore pubblico e quello delle aziende private di vendita al dettaglio siano quelli con la probabilità più alta di accadimento stimata. È possibile che una spiegazione di questo fenomeno risieda nella maggiore quantità di informazioni riservate e sensibili raccolte da questi settori, in combinazione con un livello generalmente inferiore di sicurezza. Per contro, i settori che trattano energia e trasporti sembrano beneficiare di una più bassa probabilità di accadimento.
Secondo il Cyber Intelligence and Information Security Center dell’Università La Sapienza di Roma, che ha condotto una ricerca a livello nazionale, tutte le organizzazioni finanziarie risulterebbero essere state attaccate, e le violazioni avrebbero avuto successo nel 17% dei casi, grazie all’elevato grado di sicurezza che caratterizza i sistemi di banche e istituti di credito in genere.
La Pubblica Amministrazione, invece, conterebbe il maggior numero di attacchi riusciti (62%), il che confermerebbe l’adozione di politiche di sicurezza insufficienti.
Il settore industriale resterebbe il meno aggredito, ma solo il 29% delle aziende sarebbe in grado di rilevare minacce persistenti avanzate (APT).
Quale futuro possiamo dunque immaginare per la sicurezza della privacy nel nostro Paese?
A prescindere dall’obsolescenza dei sistemi e delle politiche adottate, c’è da rilevare che, in generale, la superficie di attacco complessivamente esposta dalla nostra civiltà digitale sembra crescere assai più velocemente della nostra capacità di proteggerla e che i sistemi di difesa impiegati non riescono a essere abbastanza efficaci. Pure a fronte di crescenti investimenti nella sicurezza informatica, infatti, il numero degli attacchi continua ad aumentare.
In tale contesto, in cui peraltro si stima che gran parte degli incidenti non vengano nemmeno rilevati dalle vittime, si innesta il nuovo Regolamento europeo per la salvaguardia dei dati personali, una normativa articolata e complessa che impone alla quasi totalità dei soggetti giuridici che operano nella nostra società, siano essi privati, aziende o enti pubblici, di operare con un approccio completamente integrato per il trattamento dei dati personali, non più basato sul semplice concetto di compliance ma caratterizzato da un’attenta analisi e gestione dei rischi determinati dal nostro vivere quotidiano nella civiltà digitale.
Il 25 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento 2016/679 del Parlamento e del Consiglio Europeo, che ha introdotto nuovi principi sul trattamento dei dati personali e sulla loro libera circolazione all’interno e fuori dall’Unione.
La nuova normativa avrà notevole impatto sul risk management di tutti i soggetti che gestiscano dati a qualsiasi titolo, ma non è questa la sola ragione per cui quest’argomento risulta oggi al centro dell’attenzione dei media e degli esperti del settore assicurativo.
La tecnologia, infatti, ha radicalmente mutato il nostro modo di pensare e lavorare, dilatando lo spazio che ci circonda oltre i confini delle nostre case o aziende, ed elevando i rapporti e le interazioni tra gli individui su un piano che prescinde dalla località in cui essi si trovino, dando loro accesso a un mondo che è, per definizione, senza confini.
Inebriati dalle infinite opportunità che il cyber-spazio ci offre, tendiamo quindi a sottovalutare i pericoli insiti nel nuovissimo stile di vita che si è ormai imposto in tutti i settori della società, al quale alcuni di noi fanno forse fatica ad adattarsi, ma che i più giovani, cosiddetti millennials, sembrano vivere in completa e naturale simbiosi.
UNA MATERIA DELICATA
Materia prima ed elemento portante di questo cosmo, nel quale dialoghiamo in ogni momento tramite smartphone e tablet, non solo tra individui e gruppi di persone, ma anche con gli elettrodomestici di casa, i computer dell’ufficio e le macchine produttive aziendali, sono i dati.
Lunghissime file di questi elementi intangibili si muovono da ogni angolo del cyber-spazio, trasportando molecole di informazioni che si raggruppano e organizzano, ordinando agli strumenti che ci circondano di compiere le operazioni che sostanziano il nostro vivere quotidiano: acquistare oggetti e servizi, impostare e accendere in remoto un elettrodomestico a casa o un macchinario in una filiale lontana, comunicare, apprendere, lavorare, divertirsi, muoversi.
Ma questa materia, così duttile e sfuggente, è delicata: essa può essere violata, trafugata e manipolata con intenti criminosi, o semplicemente danneggiata e distrutta per un errore umano o per disattenzione.
IL DATA BREACH È CASO COMUNE
È dunque questo che intendiamo per violazione di dati, o data breach: un evento in cui dati sensibili e informazioni personali, mediche o finanziarie vengono potenzialmente messi a rischio. All’origine delle violazioni di dati possono trovarsi le frodi informatiche (attacchi dolosi), ma anche problemi tecnici ed errori umani: in ogni caso, le conseguenze per le vittime possono essere rilevanti e i danni assai cospicui, dalla perdita di profitto ai costi di recupero dei sistemi, al danno reputazionale.
Anche i danni causati a terzi possono essere ingenti: è possibile, infatti, che si debbano fronteggiare azioni collettive per risarcire i propri clienti per le conseguenze delle violazioni subite, o che gli amministratori delle società titolari del trattamento subiscano richieste di risarcimento da parte degli investitori, per aver omesso di porre in atto le strategie necessarie a evitare le violazioni e le perdite a esse conseguenti.
I soli costi di difesa in seguito a violazioni o perdita di dati possono essere altissimi, e includono spese legali e di consulenza a vari livelli, nonché le spese sostenute per informare i clienti di quanto accaduto e delle azioni correttive eventualmente intraprese, senza contare multe e ammende previste dalla legge.
Secondo l’ultimo report Breach Level Index di Safe Net-Gemalto, sarebbero più di 5,3 miliardi i dati persi o trafugati dal 2013 a oggi: più di 3,8 milioni al giorno e 2.600 ogni minuto. Si tratta di una vera e propria emorragia, porre freno alla quale è impresa davvero titanica. Circa il 40% delle violazioni avrebbero origine dolosa, ma la restante parte si divide equamente tra guasti nel funzionamento dei sistemi e semplice errore umano.
NORMATIVE VECCHIE E NUOVE
In ogni caso, per garantire la sicurezza dei dati personali, ovvero di tutte quelle informazioni che sono riconducibili a una persona, sono previste ormai da tempo precise regole e tutele giuridiche.
Questa normativa articolata e complessa si è evoluta in tre tappe essenziali:
I. la Direttiva comunitaria 95/46/CE ha fissato i principi generali in materia di libera circolazione dei dati personali all’interno del territorio europeo;
II. le Direttive Comunitarie 2002/58/CE e 2009/136/UE, relative al trattamento dei dati personali e alla tutela della vita privata nell’ambito delle comunicazioni elettroniche, hanno poi introdotto precise regole sulla raccolta on line dei dati personali e sull’uso dei cookies;
III. il Regolamento 2016/679 del Parlamento e del Consiglio Europeo, del 27 aprile 2016, ha infine abrogato e sostituito la precedente Direttiva 95/46/CE, introducendo nuovi principi sulla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla loro libera circolazione.
Il nuovo Regolamento diventerà pienamente operativo in tutti i paesi membri il 25 maggio 2018, due anni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea.
I suoi effetti, però, si produrranno assai prima di tale termine, poiché sarà compito dei Garanti nazionali favorirne l’armonizzazione, anticipando in ciascun paese parti significative della riforma.
NOVITÀ CHE RIGUARDANO TUTTI
La nuova normativa interessa qualsiasi soggetto, si tratti di aziende o di individui, che debba in qualunque modo gestire, conservare, trasferire o trattare dati personali, il che, al giorno d’oggi, coinvolge praticamente tutti.
Inoltre, il diritto applicabile all’interno dell’Unione Europea viene esteso anche al trattamento dei dati personali effettuato al di fuori di essa, purché relativo all’offerta di beni o servizi a cittadini UE. È questa una vera rivoluzione, poiché finora valeva il principio per cui la normativa applicabile era quella del luogo in cui aveva sede il Titolare del trattamento.
Social network, piattaforme web (anche in modalità cloud) e motori di ricerca saranno pertanto soggetti alla normativa europea, anche se gestiti da società con sede fuori dall’Unione.
Altre novità piuttosto rilevanti riguardano:
• l’obbligo di definire i tempi di conservazione dei dati e di indicarne la provenienza, in caso di utilizzo;
• l’obbligo di comunicare tempestivamente al Garante qualsiasi violazione dei propri database;
•l’obbligo di predisporre un documento di valutazione del rischio inerente il trattamento di dati personali e di garantire, con adeguati presidi organizzativi, l’accountability del soggetto che li tratta, in materia di protezione dei dati.
In sostanza, la gestione dei dati personali non costituisce più solo un adempimento per l’azienda, ma diviene un processo che incide profondamente sulla sua organizzazione, attraverso l’individuazione di due figure chiave: il Titolare e il Responsabile del trattamento.
NUOVI RUOLI E RESPONSABILITÀ
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del contesto e delle sue finalità, il Titolare e il Responsabile del trattamento sono tenuti a porre in atto tutte le misure necessarie a garantire un livello di sicurezza adeguato al rischio costituito dal trattamento dei dati personali.
Tra queste, la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la flessibilità dei sistemi e dei servizi di trattamento e di ripristinare tempestivamente l’accesso ai dati personali, in caso di incidente tecnico.
Il Titolare e il Responsabile del trattamento devono inoltre garantire che chiunque agisca sotto la loro autorità e abbia accesso a dati personali sia regolarmente istruito in tal senso.
In caso di necessità, è prevista una consultazione dell’Autorità di controllo, qualora la valutazione dell’impatto del trattamento implichi un’elevata percentuale di rischio. Sarà quindi necessario elaborare un sistema documentale di gestione della privacy, attraverso l’istituzione obbligatoria di un Registro del trattamento dei dati, grazie al quale tutte le operazioni effettuate siano tracciabili e documentabili.
È questo il principio di rendicontazione (o di accountability), secondo cui il Titolare deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, in modo da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni del Regolamento.
Al Titolare è richiesto di effettuare un’adeguata analisi dei rischi e di documentarla, incorporando i principi della privacy fin dalla progettazione dei processi aziendali e degli applicativi informatici, per garantire che siano trattati in automatico solo i dati personali necessari per ciascuna finalità specifica del trattamento, secondo i principi della Privacy by design e Privacy by default introdotti dal Regolamento, e impedendo eventuali abusi nell’utilizzo di tali informazioni.
Il Regolamento introduce inoltre la figura del “Responsabile per la protezione dei dati” o Data Privacy Officer (DPO).
Non si tratta di un semplice responsabile, ma a tutti gli effetti del manager del trattamento dei dati, una nuova figura professionale che deve possedere ampie competenze (giuridiche, informatiche, organizzative..) per svolgere un’attività che, al di là del semplice controllo formale, sia il supporto strategico per le decisioni operative del Titolare.
Il DPO è il referente diretto del Garante e può essere un soggetto interno o esterno rispetto all’azienda. La sua nomina, che dura normalmente quattro anni, è obbligatoria per le Autorità e gli organismi pubblici e per tutte le imprese che trattino i dati di un rilevante numero di persone, ovvero tipologie di dati che per loro natura e finalità siano considerate a rischio dalla normativa.
SECONDA PARTE
Come è stato anticipato nella prima parte di questo articolo, il Titolare deve effettuare una valutazione dell’impatto del rischio privacy, o Privacy Impact Assessment (PIA), fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, in tutti i casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.
Il PIA deve quindi prevedere:
1. l’analisi dei rischi;
2. l’identificazione delle eventuali problematiche per la loro corretta gestione;
3. l’Action Plan previsto per la risoluzione di tali problemi;
4. il controllo annuale degli interventi effettuati per ridurre i rischi.
In caso di violazione, il Titolare ha l’obbligo di darne nota al Garante entro 72 ore dal fatto e, qualora la violazione stessa possa comportare dei danni per i diretti interessati, di segnalarla anche a questi ultimi senza ritardo.
La questione non è di poco conto: secondo uno studio del Ponemon Institute, occorrono in media 205 giorni per identificare una falla nei sistemi di sicurezza e molti soggetti si rendono conto dell’avvenuta violazione solo dopo che gli autori della stessa si sono fatti avanti con eventuali tentativi di estorsione.
Nel luglio del 2014, ad esempio, un attacco di hacker alla Bce ha causato la sottrazione di migliaia di indirizzi e dati personali di cittadini europei: questo attacco, però, è stato scoperto solo quando gli autori hanno contattato la banca per chiedere un riscatto.
Inoltre si stima che ogni giorno vengano scoperti più di 300 mila varianti di malwares, ovvero di programmi creati con lo scopo di eseguire attacchi specifici per distruggere dati, rubare informazioni e perfino compromettere l’attività delle vittime.
SANZIONI PESANTI
Gli obiettivi degli attacchi, infatti, possono essere disparati, dalla semplice diffusione (accesso ai sistemi per propagazione massiva, come accade per lo spam), al cybercrime (furto di dati per trarne vantaggi politici, economici o finanziari), dall’hactivism (diffamazione di organizzazioni o divulgazione di dati riservati) al furto di identità (sottrazione di informazioni personali dei cittadini), fino al danneggiamento vero e proprio degli affari di una compagnia, in seguito a distruzione o cancellazione dei suoi dati.
Una tale varietà e complessità di intenti rende estremamente difficile l’individuazione tempestiva degli attacchi e costituisce ora un serio pericolo per il Titolare del trattamento, se non dovesse denunciarli nei tempi previsti.
Le sanzioni applicate dai Garanti in caso di perdita dei dati, infatti, diventano molto più significative:
• fino a 20 milioni di euro per i privati e per le imprese non facenti parte di gruppi;
• fino al 4% del fatturato consolidato complessivo per i gruppi societari.
Si tratta di importi molto cospicui, giacché queste ammende sono pensate per incidere sulla condotta dei grandi gruppi che trattano dati in diverse aree geografiche e spesso cercano di individuare veri e propri paradisi legali, per eludere le norme e i criteri definiti dalle nazioni più rigorose sul trattamento dei dati personali.
SERVONO MODELLI ORGANIZZATIVI EVOLUTI
Attraverso l’imposizione del Privacy Impact Assessment le Autorità di controllo incoraggiano l’istituzione di meccanismi di gestione del rischio e di certificazione delle procedure per la protezione dei dati, allo scopo di dimostrare la loro conformità al Regolamento.
L’adesione a un codice di condotta o a un meccanismo di certificazione approvato può dunque essere utilizzata come elemento per dimostrare la conformità ai requisiti di sicurezza. È sempre più evidente, infatti, come i dati personali costituiscano una nuova materia prima in grado di generare ingenti guadagni o perdite per le imprese, e che va dunque gestita con modelli organizzativi evoluti ed efficienti.
In particolare i Titolari possono iniziare il percorso preparatorio alla certificazione, sottoponendo le loro aziende a valutazioni dei processi sulla base di protocolli di certificazione già esistenti, come il protocollo BSI:10012 per la gestione delle informazioni personali, che realizza processi per la corretta gestione della privacy, o il protocollo EuroPriSe (European Privacy Seal), basato sulla direttiva 95/46.
PIÙ SICURI SE C’È FORMAZIONE
Un’efficace strategia di protezione e mitigazione dei rischi inizia sempre dalla formazione.
Oggi più che mai, infatti, sono gli utenti a rappresentare l’anello debole della sicurezza, all’interno di un’organizzazione.
Secondo uno studio di Microsoft, il 23% dei messaggi elettronici contenenti tentativi di phishing (tipo di truffa, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale) viene aperto.
L’11% delle vittime apre quindi il link solitamente allegato in questi messaggi, concedendo di fatto pieno accesso agli hacker: nel 60% dei casi l’attacco ha successo in pochi minuti.
Sfortunatamente, infatti, la maggior parte delle aziende usano metodi antiquati per rilevare le infezioni da malware, in quanto la maggior parte dei sistemi sono configurati in modo da consentire l’esecuzione di un processo informatico prima ancora che il sistema di monitoraggio (basato sul riconoscimento della firma o impronta del malware) rilevi l’evento come un attacco.
In pratica, solo dopo l’entrata in funzione del malware, il sistema anti-malware interviene per ripulire il computer e assicurarsi che l’infezione non si ripeta. Questa è la ragione principale per cui, secondo Symantec, gli antivirus sarebbero oggi in grado di individuare non più del 45% degli attacchi provenienti da hacker.
C’è da notare, inoltre, che questi ultimi eseguono sempre più spesso attacchi di tipo avanzato, definiti Advanced Persistent Threats (APT o minacce persistenti avanzate), grazie ai quali, una volta entrati nella rete bersaglio, ne sfruttano gli strumenti di sistema e persistono al suo interno anche per anni, rendendo estremamente difficili e costosi i processi di disinfezione.
LO STATO DELL’ARTE IN ITALIA
La situazione nel nostro Paese risulta essere particolarmente grave.
Uno studio effettuato nel 2014 dal Ponemon Institute sulle violazioni dei dati in Italia, ha rivelato come il settore pubblico e quello delle aziende private di vendita al dettaglio siano quelli con la probabilità più alta di accadimento stimata. È possibile che una spiegazione di questo fenomeno risieda nella maggiore quantità di informazioni riservate e sensibili raccolte da questi settori, in combinazione con un livello generalmente inferiore di sicurezza. Per contro, i settori che trattano energia e trasporti sembrano beneficiare di una più bassa probabilità di accadimento.
Secondo il Cyber Intelligence and Information Security Center dell’Università La Sapienza di Roma, che ha condotto una ricerca a livello nazionale, tutte le organizzazioni finanziarie risulterebbero essere state attaccate, e le violazioni avrebbero avuto successo nel 17% dei casi, grazie all’elevato grado di sicurezza che caratterizza i sistemi di banche e istituti di credito in genere.
La Pubblica Amministrazione, invece, conterebbe il maggior numero di attacchi riusciti (62%), il che confermerebbe l’adozione di politiche di sicurezza insufficienti.
Il settore industriale resterebbe il meno aggredito, ma solo il 29% delle aziende sarebbe in grado di rilevare minacce persistenti avanzate (APT).
Quale futuro possiamo dunque immaginare per la sicurezza della privacy nel nostro Paese?
A prescindere dall’obsolescenza dei sistemi e delle politiche adottate, c’è da rilevare che, in generale, la superficie di attacco complessivamente esposta dalla nostra civiltà digitale sembra crescere assai più velocemente della nostra capacità di proteggerla e che i sistemi di difesa impiegati non riescono a essere abbastanza efficaci. Pure a fronte di crescenti investimenti nella sicurezza informatica, infatti, il numero degli attacchi continua ad aumentare.
In tale contesto, in cui peraltro si stima che gran parte degli incidenti non vengano nemmeno rilevati dalle vittime, si innesta il nuovo Regolamento europeo per la salvaguardia dei dati personali, una normativa articolata e complessa che impone alla quasi totalità dei soggetti giuridici che operano nella nostra società, siano essi privati, aziende o enti pubblici, di operare con un approccio completamente integrato per il trattamento dei dati personali, non più basato sul semplice concetto di compliance ma caratterizzato da un’attenta analisi e gestione dei rischi determinati dal nostro vivere quotidiano nella civiltà digitale.
© RIPRODUZIONE RISERVATA
👥