In un ecosistema aziendale sempre più dipendente dal controllo delle informazioni digitali, la sicurezza di queste ultime non può che diventare una priorità per diversi fattori per il sistema produttivo, per la continuità di business, per l’immagine e la reputazione.
In generale, ogni organizzazione dovrebbe considerare il proprio patrimonio informativo come asset strategico per il proprio business e preoccuparsi di proteggerlo nel migliore dei modi, considerando i rischi, i costi e lo stato dell’arte tecnologico.
Per quanto riguarda in particolare i dati personali, inoltre, esiste una norma europea, il Reg. (UE) 2016/679 (GDPR) che obbliga giuridicamente le organizzazioni ad adottare ogni misura “adeguata”, utile a proteggere i dati personali, tutelando così le libertà e i diritti fondamentali delle persone fisiche alle quali si riferiscono
GDPR e sanzioni per chi non garantisce la sicurezza dei dati
Il nucleo concettuale della disciplina del GDPR è proprio la prevenzione delle violazioni di dati personali (data breach) e la gestione di questi episodi laddove si verifichino (Art. 32 e ss.)
Le conseguenze per le organizzazioni titolari del trattamento dei dati, in caso di adozione di misure di sicurezza inadeguate o di gestione non adeguata di un data breach, possono essere anche molto gravi, fino a compromettere la possibilità di continuare l’attività imprenditoriale.
La norma, in primo luogo, prevede un impianto sanzionatorio (di natura amministrativa) che può raggiungere, per le violazioni più gravi, anche i 20 milioni di euro o il 4% del fatturato complessivo annuo (art. 83). Si è già detto, inoltre, che la compromissione dell’asset informativo (soprattutto in settori più esposti) può gravemente impattare sulla continuità o sul valore del business.
Devono, inoltre, essere considerate le possibili (in alcuni casi probabili) conseguenze in termini di immagine, soprattutto in casi di violazioni dovute ad accertate lacune nella compliance. Infine, è bene non dimenticare la possibilità che dalle violazioni derivino danni per terzi, con conseguenti contenziosi civili, resi più appetibili dall’inversione dell’onere della prova disposto dall’art. 84 del regolamento.
Come evitare o minimizzare, dunque, queste gravi implicazioni?
Il primo passo è sempre di natura organizzativa e gestionale. Occorre muoversi sul piano della consapevolezza a tutti i livelli. Inoltre, è fondamentale che nelle organizzazioni si consolidi una sensibilità nei confronti della delicatezza del tema e della sua priorità. Conoscere asetticamente il contenuto della norma o le best practice, se poi non si è motivati a rispettarle, è del tutto inutile!
Consapevolezza significa anche prevedibilità, dunque analisi delle minacce, delle implicazioni di eventuali incidenti e distribuzione tracciabile di autorizzazioni al trattamento dei dati sufficientemente specifiche, sia ai collaboratori interni all’organizzazione, che a quelli esterni. Il tutto dimostrabile in caso di ispezioni o controlli anche successivi nel tempo.
Occorre poi ricordare che il primo presidio di sicurezza è il trattamento dei soli dati realmente necessari al conseguimento delle finalità aziendali e per il solo tempo strettamente necessario. Un dato non trattato è un dato non esposto a rischi!
Sempre in tema di prevenzione, le misure di sicurezza in senso stretto, ovvero gli strumenti e le impostazioni volte a impedire concretamente le violazioni (credenziali d’accesso, backup, armadi chiusi a chiave) devono essere correttamente definite, impiegate e rese operative.
Occorre ricordare che la natura e l’entità delle misure di sicurezza dispiegate deve essere proporzionata ai rischi connessi ai trattamenti, allo stato dell’arte tecnologico e non inferiore ai costi che possono essere sostenuti dall’organizzazione.
Non sono nemmeno sufficienti ‘misure minime’ fondate su checklist generiche: l’idea è che per quanto necessaria, l’attività di trattamento di dati è pericolosa e rientra nel rischio e nei costi che l’impresa si assume entrando in un business, che non può essere condotto a scapito della sicurezza delle persone.
E se le misure di sicurezza non bastassero?
A quel punto, potrebbe verificarsi un incidente di sicurezza e sfociare in un data breach, ovvero in una violazione dell’integrità e della disponibilità dei dati. Bisogna tener presente che, in casi simili, occorre analizzare l’accaduto con estrema urgenza, poiché ci sono 72 ore per decidere se sia necessario comunicare l’accaduto al Garante e, successivamente, occorre determinare se sia necessario comunicare l’accaduto anche a tutti gli interessati.
Tutto ciò è previsto dalla normativa come adempimento obbligatorio. Parallelamente, l’organizzazione dovrà mettere in atto tutte le azioni possibili per la mitigazione o la neutralizzazione delle possibili conseguenze dannose dell’incidente sugli interessati.
Ovviamente, laddove il Garante dovesse ritenerlo necessario, potrà svolgere accertamenti sull’accaduto e se dovesse riscontrare lacune nell’allineamento dell’organizzazione con la GDPR compliance, potrebbe irrogare sanzioni o disporre ulteriori e più approfonditi accertamenti (o diffide ad adempiere).
Appare chiaro come nulla si possa improvvisare e tutto debba essere frutto di analisi attente e meticolose e di una precisa strategia di prevenzione degli incidenti e mitigazione delle eventuali conseguenze. La conoscenza della normativa e degli standard tecnici è di fondamentale importanza al fine di delineare correttamente gli interventi necessari senza rischiare di allocare risorse in modo inefficace o rimanere scoperti.
Ogni azienda dovrebbe dotarsi di un piano per la GDPR compliance e per la prevenzione delle violazioni di dati personali, a partire dalla corretta conservazione dei dati fino all’implementazione di misure tecniche informatiche e analogiche in azienda.
Vuoi saperne di più sulla sicurezza delle informazioni digitali?
