Articolo redatto dai Dr. Alfredo Visconti e Avv. Roberto Moroni
Un articolo del sole 24 ore del 5 aprile sul valore delle informazioni, partendo dal valore psicologico, fa ben capire il momento storico, la partita che si sta giocando e soprattutto i valori economici a livello di business, tanto che l’incipit dice:
“valgono molto di più di una semplice risorsa da estrarre e consumare …”
In questo momento la gestione dei nostri dati personali, e la protezione di essi, sia a livello privato sia a livello aziendale, struttura l’ecosistema economico di domani, e ad oggi abbiamo una sola certezza: si ripartirà dai dati.
Dall’inizio della pandemia ad oggi gli attacchi informatici sono aumentati in modo esponenziale registrando un trend in aumento del 41% rispetto alla media. Solo per citarne uno famoso possiamo ricordare l’attacco al dipartimento della sanità degli Stati Uniti, ben sapendo che in Italia un’indagine condotta dal Kaspersky Lab, compagnia leader nel settore della cybersicurezza, ha rilevato che oltre la metà delle aziende italiane, il 55%, è stata vittima di un attacco informatico negli ultimi 24 mesi, con conseguenti ricadute sull’andamento delle loro attività.
Tra gli effetti più comuni, il 31% delle imprese ha dichiarato di aver subito un’interruzione dei servizi, il 18% ha avuto problemi con l’integrità dei dati, mentre il 15% ha denunciato la perdita dei dati stessi, in tutti e tre i casi gli stop hanno generato una perdita economica a livello di business oltre ad una perdita di dati come fonte di guadagno per finire con un danno di immagine non da poco.
Per poi finire a ricordare, storia attuale, che spesso i dati si perdono, per mancati o errati investimenti in o in costruzioni architetturali e tecniche non appropriate o mal gestite come nel caso del crash del sito INPS.
È questo il passaggio ideologico fondamentale da apportare nei nostri sistemi, parlare di trattamento dei dati personali significa mettere il primo ed il giusto tassello alla gestione della metodologia di sicurezza informatica.
Dobbiamo iniziare a comprendere i benefici del regolamento europeo sia a livello normativo sia a livello di tecniche di protezione del dato inteso come business.
Dobbiamo capire che la protezione dei dati, sia essa informatica o meno, parte da alcuni presupposti normativi come un corretto contratto di gestione a cui si associa un altrettanto attento contratto di manutenzione, un rispetto del regolamento europeo del trattamento dei dati ben sapendo che esso va calato poi nella realtà italiana cosi come disegnata dal d.lgs 196/2003 e da come questo è stato emandato dal decreto 108 dell’agosto 2019, sempre prestando attenzione agli indirizzi del garante.
A questo passaggio va poi aggiunta ed integrata la tecnica informatica e le procedure di sicurezza che vanno affrontate attraverso l’ausilio di competenti del settore: non è l’antivirus che ci protegge ma le procedure che si creano, perché la sicurezza informatica non si acquista si costruisce attraverso le metodologie ed i software giusti.
In questo periodo di pandemia anche i titolari dei dati, i responsabili dei dati ed i data protection officer dove nominati devono lavorare sulla protezione dei dati facendo studi per verificare correttezza ed integrità dei dati e verificando la disponibilità degli stessi.
Forse pochi, tra gli addetti ai lavori nel campo della privacy, hanno riflettuto sullo scenario che stiamo vivendo in questi giorni e soprattutto su come questo modo di vivere e lavorare sta esponendo una molteplicità di dati personali in modo completamente trasparente verso tutti.
Lo smart working ha creato un mondo digitale senza regole e purtroppo senza protezioni, al più in alcuni casi con piccole regole di protezione nella maggior parte dei casi completamente inutili.
Se solo pensiamo all’immediato, oggi lavoriamo quasi tutti attraverso VPN, utilizziamo tutti software per le video call, condividiamo lo schermo … e si potrebbe continuare con tanti altri esempi, ma il Titolare o il DPO si sono preoccupati di dare agli utilizzatori la giusta formazione? Hanno messo in piedi politiche fisiche e logiche di sicurezza? Hanno avvisato e raccolto i consensi, tanto con i dipendenti quanto con i clienti e fornitori?
E’ di questi giorni la problematica ZOOM una piattaforma per video conferenze, ma microsoft teams skype cisco webes ed altre hanno gli stessi problemi, che addirittura è stata messa sotto inchiesta dalla FBI per problemi di sicurezza, oltre ai dubbi già emersi sull’utilizzo dei dati personali condivisi con Facebook.
Queste piattaforme hanno spopolato in poche settimane raddoppiando il proprio valore di mercato e registrando un’impennata nel volume di dati, tuttavia non sono mancati i problemi, soprattutto legati alla privacy.
Non stiamo parlando di fantascienza. Oggi questi software sono utilizzati dalle scuole di qualsiasi grado, quindi interessando anche i minori, dagli uffici delle aziende pubbliche e private, dagli ospedali quindi è facile pensare a quale mole di dati facciamo girare con queste attività.
Lo steso dicasi ad esempio per le vpn – Virtual Private Network – che consentono di creare una rete privata virtuale.
Anche in questo caso il Titolare dei dati o il DPO hanno provveduto a rendere più sicuro il collegamento da remoto potendo fare un deployment veloce scegliendo la soluzione SaaS
In sintesi le Vpn espongono le aziende a forti rischi. Inoltre la indisponibilità di portatili adesso rende necessario l’utilizzo di piattaforme personali che possono essere non gestite ottimamente per la sicurezza aziendale. Il risvolto in certe condizioni potrebbe essere peggiore se l’azienda subisse in questo momento un attacco informatico ed un fermo.
Ne potremmo scrivere tante e con tante soluzioni diverse fra di loro, ma di certo ci sono alcune attività che vanno fatto in corsa bene e che servono ad alzare il livello di tutela e di conoscenza, sarebbe quindi opportuno che, chi di dovere rendesse edotti tutti al suo interno emettendo una serie di documentazione informativa come:
- informativa i dipendenti – con particolare risvolto alla epidemia e ai nuovi dati raccolti
- consenso informato – con particoalre attenzione ai minori e ai dati sensibili
- vademecumsulle piattaforme utilizzate indirizzato soprattutto agli insegnanti ma in generale utile a tutti gli utenti
- regole tecniche per l’utilizzo della vpn spiegando cosa non usare quando si è in smart working
- regole per la gestione dei software per la videochiamata, una su tutte non utilizzare mai per l’accesso l’account dei social proposti.
- rivedere il registro del trattamento inserendo i nuovi rischi che prima non erano previsti
Sarebbe opportuno verificare la check list delle attività da mettere in piedi sia prima sia durante questa pandemia per confrontare i risultati e verificare se vi sono interventi da effettuare, perché intervenire tardo o comunque dopo significa perdita economica e di affidabilità.
Sempre dalla stima di kaspersky “in Italia, il 78,1% delle imprese ha dichiarato tempi di risposta inferiori alle 8 ore, mentre il 21,1% ha affermato di non essere stato altrettanto tempestivo. I risultati dell’indagine confermano una tendenza che sottolineiamo da diverso tempo: gli attaccanti che riescono a penetrare all’interno di un’organizzazione a volte non lasciano alcuna traccia, conclude Morten Lehn, General Manager di Kaspersky Lab Italia”.
Ciò significa che contrariamente a quanto si pensa in Italia non vi è ancora una sviluppata gestione della protezione del business aziendale ancora non si presta attenzione al fatto che i dati sono il primo elemento della catena produttiva di un qualsiasi business.
Eppure non bisogna pensare al danno solo in termini di minor guadagno, perché quando si parla di protezione dei dati occorre mettere in cantiere anche le sanzioni che vengono comminate dal garante in termini di mancato adempimento ai dettami della legge.
Infatti un aspetto del GDPR è rappresentato dal modello sanzionatorio descritto nell’art. 83 del Regolamento UE 2016/679, dove si esplicitano le condizioni generali per l’applicazione di sanzioni amministrative pecuniarie. Nel 2019 si è concretizzato un naturale inasprimento delle sanzioni, determinato in parte dal termine di un periodo di tolleranza rispettato al periodo precedente.
Le Sanzioni hanno visto implicato tanto il settore pubblico quanto il privato e solo per fare qualche nome possiamo citate: la Piattaforma rousseau, enel, eni call center, liberi professionisti ed altri settori.
Visto che dove non potrà nulla il rispetto dei dati molto potrà il regime sanzionatorio è opportuno specificare le variabili di valutazione definite nel comma 2 dell’art. 83 del GDPR, per cui le sanzioni vengono applicate secondo due modalità:
- per le violazioni di minore entità (art. 83, comma 4): se il 2% del fatturato mondiale annuo di una società è inferiore a 10 milioni, la sanzione massima applicabile sarà di 10 milioni di euro. Se invece il 2% del fatturato mondiale annuo è superiore a 10 milioni, il massimale per l’applicazione della sanzione sarà proprio il 2% del fatturato
- per le violazioni di maggiore entità (art. 83, comma 5): si applica lo stesso criterio appena descritto con la differenza che la soglia massima si alza a 20 milioni di euro o il 4% del fatturato mondiale annuo.