sicurezza informatica nelle aziende
adv

Quando si parla di sicurezza informatica si intende l’insieme di tecnologie e mezzi volti alla protezione dei sistemi informatici in termini di integrità, disponibilità e confidenzialità.

Per valutare la sicurezza informatica è necessario individuare la vulnerabilità, le minacce, e i rischi connessi agli asset (attività) informatici, con l’obiettivo di proteggere i dati da possibili attacchi, provenienti dall’interno o dall’esterno delle società, che potrebbero provocare danni, anche ingenti, all’azienda stessa.

La questione della sicurezza informatica viene per lo più indicata attraverso il neologismo “cybersecurity”, con il quale si intende, infatti, l’ambito della sicurezza che dipende esclusivamente dalla tecnologia informatica.

I tentativi di attacco possono essere molteplici, perciò è preferibile usare contemporaneamente diverse tecniche difensive per proteggere il sistema informatico.

Il sistema informatico deve essere in grado di impedire l’accesso e l’alterazione delle informazioni, sia da parte di utenti non autorizzati, sia a causa di eventi accidentali.

Le misure di sicurezza informatica maggiormente consigliate sono molteplici, tra cui quelle maggiormente consigliate sono: un sistema di autenticazione, oltre che con password anche con la possibilità di introdurre impronte digitali; installazione di un firewall che consente il controllo degli accessi.

Dal momento che l’informazione è considerata un bene aziendale, e che comunque la maggior parte delle informazioni sono ormai custodite su sistemi informatici, ogni azienda deve essere in grado di garantire la sicurezza dei propri dati, in un momento storico in cui la questione della privacy dei dati sensibili all’interno delle organizzazioni è particolarmente pregnante.

Stiamo, infatti, per assistere nel 2018 all’esordio di una nuova normativa europea sul trattamento dei dati personali rivolta alle società, la General data protection regulation (Gdpr).

La Gdpr, andrà a sostituire il Codice privacy, in vigore dal 2003 e vedrà un’uniformità legislativa in campo di privacy per tutti i paesi dell’Unione Europea, legiferando sull’importanza della gestione dei dati sensibili per le società.

Saranno imposte nuove obbligazioni, come la tenuta del registro per le attività di trattamento (obbligatoria per le aziende che superano i 250 dipendenti, ma consigliata in tutti i casi), nuove procedure, come l’avviso rispetto a qualunque violazione dei dati, i cosiddetti data breach, ma anche figure innovative, come il Responsabile di quanto detto fin ora, cioè della privacy.

Il ruolo del Responsabile della protezione dei dati, data protection officer (Dpo), è obbligatorio per gli esercizi pubblici, mentre per gli enti privati può essere nominato solo “quando i trattamenti effettuati sono rischiosi per la generalità degli interessati”, cioè quando c’è un monitoraggio dei soggetti coinvolti su larga scala. Il ruolo di Responsabile della protezione dei dati può essere affidato sia a dipendenti interni alla società, che a terzi del tutto estranei alla società stessa. Il Responsabile gode di una certa indipendenza dal proprio datore di lavoro, in quanto il suo compito prevede il controllo del proprio datore di lavoro stesso.

Il Garante, inoltre, sottolinea che per l’assunzione del ruolo di Dpr non sono obbligatori titoli ed iscrizioni ad un albo, almeno per il momento.

Ma di chi si parla quando si fa riferimento agli utenti? Gli utenti sono tutti coloro che entrano a contatto con le società: i clienti, i dipendenti, i gestori, i fornitori e perfino coloro che visitano il sito Internet.

Inoltre il Regolamento afferma che “l’interessato ha il diritto di ricevere in un formato strutturato, di suo comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento…”. Parafrasando, quindi, il soggetto ha, non solo il diritto di richiedere i dati sensibili che lo riguardano, ma anche, il prodotto del proprio lavoro all’interno di un rapporto contrattuale o di servizio.

Sulla scia di questo punto, quindi, ogni società si potrà trovare a dover fare i conti con questa richiesta. Infatti chiunque sia in possesso di una fidelity card potrà legittimamente chiedere al proprio gestore i particolari dei propri acquisti o dei propri consumi (quindi ciò varrà sia per attività commerciali, ma anche per le aziende che forniscono energia elettrica, gas o che si occupano di telefonia).

Lo stesso principio verrà applicato anche in campo medico: i pazienti acquisteranno la facoltà di esercitare questo diritto nelle strutture sanitarie cui si rivolgeranno. Anche aziende come Google potranno vedersi rivendicare gli stessi diritti come, ad esempio, attraverso la pretesa di portabilità delle proprie caselle di posta elettronica.

L’unica consolazione per le aziende sarà che la richiesta di portabilità riguarderà esclusivamente i “trattamenti effettuati con strumenti automatizzati”, per cui non verranno coinvolte le documentazioni cartacee.

Siamo quindi, di fronte ad una vera e propria rivoluzione copernicana della normativa sulla privacy.

Ma che succede se la Gdpr non viene rispettata? Il Garante stabilisce che l’inosservanza di quanto legittimato dalla Gdpr comporta sanzioni che possono arrivare anche al 4 % del fatturato o a 20 milioni di euro.

Qualunque violazione della privacy impone, inoltre, un’azione immediata del Responsabile della privacy. Ogni azienda dovrà infatti essere dotata di un sistema e di una pianificazione che consentano una reazione immediata a qualunque intrusione, sia che si parli di un tentativo di accesso alle informazioni, o che si parli di un vero e proprio furto dei dati. Ogni data breach va notificato al Garante entro 72 ore.

In più, diventa obbligatorio un registro aziendale, scritto o elettronico, che espliciterà le attività del titolare e del Responsabile. Questo registro ha una doppia finalità: da un lato prevede un’organizzazione più razionale, dall’altro è a disposizione delle autorità competenti ogni qual volta venga richiesto.

Ad ogni modo è bene che le aziende si impegnino ad adeguarsi per tempo alla nuova normativa sulla privacy, onde evitare eventuali sanzioni, e ad assicurare un livello appropriato di sicurezza informatica.