Privacy e Sicurezza dei Dati. Gli strumenti di supporto per la mitigazione dei rischi.

Dal 25 maggio 2018 l’attenzione verso la tutela dei dati si è innalzata con l’obiettivo di favorire la crescita della fiducia dei cittadini europei nell’economia e nella sempre più incalzante digitalizzazione. Dall’altra parte molte organizzazioni, nonostante la crescente spesa in soluzioni tecnologiche legate alla protezione dei dati, continuano senza tregua a subire attacchi informatici di varia natura. Molte di queste hanno scelto di procedere in un primo step alla sensibilizzazione dei propri dipendenti. Ma tutto questo può ritenersi sufficiente?

Dalla ricerca condotta dall’Osservatorio Information Security & Privacy si evince che quasi un quarto delle organizzazioni italiane si è dichiarata conforme ai requisiti del GDPR, con sempre meno aziende poco consapevoli rispetto al tema. Di tutte le organizzazioni campionate però solo il 23% conferma di aver completato il percorso di adeguamento al nuovo Regolamento Europeo per la Protezione dei Dati, mentre la maggioranza, vicina al 60% dichiara che è in corso un progetto strutturato, non ancora concluso.

Quel che è certo è che negli ultimi 3 anni il budget complessivo speso per attività connesse all’adeguamento ai nuovi requisiti previsti dal GDPR è aumentato notevolmente. Da quanto emerge dalla ricerca dell’Osservatorio però le azioni implementate sono limitate all’adozione delle misure minime per ottemperare ai requisiti della normativa recentemente entrata in vigore.

Quali criticità affrontano le aziende italiane?

Le reali difficoltà riscontrate dalle aziende italiane rimangono legate soprattutto a dinamiche organizzative. Il GDPR richiede infatti che sia dimostrabile la capacità di mettere in atto misure specifiche per la legislazione ed essere in grado di valutare i rischi connessi al trattamento dei dati personali, declinati nelle dimensioni tecniche, legali ed organizzative.

Un approccio sistemico e metodico diventa quindi fondamentale per orientare le azioni e l’intera organizzazione nell’affrontare concretamente la sfida posta dal GDPR in materia di data protection. La conferma giunge anche dalla ricerca dell’Osservatorio Information Security e Privacy, nella quale si evince che il 26% delle aziende ha registrato difficoltà dal punto di vista organizzativo, per esempio nell’individuazione dei ruoli e delle responsabilità in azienda e che l’8% ha segnalato un rallentamento nelle attività quotidiane.

Il valore della Certificazione

In tutto questo però, il GDPR ha incoraggiato “l’istituzione di meccanismi di certificazione della protezione dei dati (omissis) allo scopo di dimostrare la conformità al Regolamento delle operazioni di trattamento effettuate dal Responsabile e dell’incaricato del trattamento” (art.42 Reg. EU 679/2016). Il ricorso alle certificazioni può essere in questo senso utilizzato per individuare gli orientamenti necessari per mettere in atto misure opportune e per dimostrare la compliance con particolare riferimento all’identificazione del rischio connesso al trattamento, la sua valutazione e l’individuazione di best practices per la mitigazione dello stesso.

Inoltre, l’applicazione di un meccanismo di certificazione può essere utilizzata dall’azienda come elemento per dimostrare il rispetto degli obblighi regolamentari. Questo però non riducendo la responsabilità del Titolare o del Responsabile del trattamento dei dati in merito ai loro compiti.

A breve distanza dall'emanazione del Decreto legislativo 10 agosto 2018, n. 101, decreto di adeguamento della normativa nazionale al nuovo Regolamento europeo sulla protezione dei dati (regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016), UNI ha diffuso la nuova prassi di riferimento UNI/PdR 43:2018 per la gestione ed il monitoraggio dei dati personali in ambito ICT secondo il nuovo Regolamento.

L’obiettivo della Prassi, che è dedicata al trattamento automatizzato di dati personali, è quello di definire in modo obiettivo e ripetibile le azioni per il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione come auspicati dagli art. 42 e 43 del Regolamento Europeo n.679/2016.