La Cybervulnerabilità ed i conseguenti risvolti negativi sulla tutela della privacy aziendale

La Cybervulnerabilità ed i conseguenti risvolti negativi sulla tutela della privacy aziendale

di Assunta Balzamo

Versione PDF del documento

Il mondo contemporaneo deriva dalla combinazione di due diverse dimensioni: una realtà concreta e tangibile, che si identifica nel comune ambiente sociale ed una realtà altrettanto concreta, ma intangibile, ossia il cyberspazio, nell’ambito del quale si riscontrano elevati rischi per la tutela della privacy.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Il valore dei dati personali nel cyberspazio

L’odierna era dell’informazione deriva da un’imponente rivoluzione digitale, la quale ha avuto origine fin dal principio del XXI secolo e nell’arco della stessa, l’uomo ha avuto l’incredibile capacità di sviluppare una nuova dimensione completamente artificiale, il c.d. cyberspazio, nell’ambito del quale gli individui possono interagire tra loro, attraverso rappresentazioni digitali[1].

Tuttavia, seppure questa nuova dimensione ha apportato sicuri vantaggi al mondo comune, si rende opportuno evidenziare anche i rischi legati ad una tale rivoluzione.

È agevole intuire che le interazioni sul web implicano lo scambio di una consiste mole di dati tra i soggetti interessati, in uno spazio virtuale, che non assicura un’effettiva loro tutela, infatti, la scarsa trasparenza degli ambienti digitali determina nei soggetti, persone fisiche e persone giuridiche, una scarsa consapevolezza dell’ingente valore dei propri dati personali e delle conseguenze dei trattamenti a cui essi possono essere sottoposti. Pertanto, codesta problematica ha risvolti negativi sia in relazione alle singole persone fisiche, che potrebbero veder violata la propria sfera personale, sia (e soprattutto) in relazione alle realtà aziendali, che potrebbero essere vittime di attacchi hacker, volti a realizzare crimini come frodi, estorsioni, furti di dati aziendali, spionaggio, ecc [2].

2. La questione della tutela

La normativa europea sulla protezione dei dati personali, stabilita con regolamento n. 2016/679, c.d. GDPR, nel suo complesso di articoli è volta a mitigare anche queste “cyber” situazioni potenzialmente patologiche, individuando numerosi adempimenti di diversa entità a carico dei titolari del trattamento, al fine di assicurare idonee garanzie ai soggetti interessati dagli eventuali trattamenti di dati personali sul web.

In particolare, dal presente regolamento si evince una chiara affermazione del principio di “Accountability”, il quale mira ad ottenere una maggiore responsabilizzazione di tutti i titolari, che sono tenuti all’adozione di misure tecniche ed organizzative, non individuate preventivamente dal legislatore, ma altrettanto adeguate ad assicurare agli interessati la liceità del trattamento dei propri dati personali. Tuttavia, persiste una rilevante problematica: quali misure di sicurezza possono essere definite adeguate?

Al fine dell’individuazione di adeguate misure, che possano scongiurare l’insorgere di responsabilità per il titolare del trattamento, è necessario adottare un approccio basato sul rischio, secondo cui gli adempimenti volti alla tutela dei diritti devono essere proporzionati al livello di rischio insito nelle operazioni di trattamento; il presente approccio trova una valida leva nella predisposizione e nell’adozione del “Modello Organizzativo Privacy” (MOP), il quale, alla luce dell’art. 24 del GDPR[3], si configura come un insieme di misure tecniche ed organizzative, volte alla dimostrazione che il trattamento dei dati sia avvenuto ed avvenga in conformità alla normativa stabilita dallo stesso regolamento europeo.

Pertanto, affinché un tale documento possa espletare concretamente e in maniera adeguata la sua funzione, è necessario procedere preventivamente ad una valutazione correlata alle specifiche esigenze di una realtà aziendale ed in seguito, procedere all’adeguamento del modello sulla base dei risultati ottenuti dall’analisi dello stato as-is dell’azienda.

Pertanto, sarà necessario procedere all’esame di diversi aspetti organizzativi, quali:

  • Il complesso della documentazione aziendale, da cui emerge la struttura organizzativa dell’azienda, al fine dell’individuazione delle aree più esposte a rischi;
  • Il Registro delle attività di trattamento, ex art. 30 GDPR [4], grazie al quale è possibile valutare la mole di dati trattati, le tipologie di dati, le finalità del trattamento, le misure di protezione adottate ed è, dunque, un valido strumento probatorio, volto a dimostrare la liceità dei trattamenti posti in essere;
  • Il complesso della documentazione, da cui emergono i sistemi e le misure di sicurezza adottate, al fine di valutarne le specifiche e la conseguente adeguatezza;
  • La valutazione circa l’idoneità delle misure tecniche ed organizzative adottate e dunque, se le stesse siano idonee a scongiurare il verificarsi di eventi dannosi;
  • La valutazione dei rischi inerenti l’impatto che il trattamento o le misure di sicurezza posso determinare per i diritti e le libertà dell’interessato, mediante la predisposizione del c.d. “Privacy Impact Assessment”.

Dunque, dalla precedente analisi si evince che, da un lato i titolari del trattamento sono liberi di scegliere ed adottare le misure di sicurezza e le politiche di protezione dei dati che più ritengono opportune, ma dall’altro lato, è pur vero che ad una tale discrezionalità, la normativa europea accompagna sanzioni elevatissime in caso di inadempimento o incompleto adeguamento[5], mediante la previsione non solo di sanzioni amministrative pecuniarie con cifre molto elevate e ben determinate, ma laddove queste non siano sufficienti, sono previste sanzioni correlate al 2 – 4% del fatturato totale annuo in relazione all’esercizio precedente.

Pertanto, la predisposizione di misure di sicurezza adeguate appare fondamentale nel complesso dell’organizzazione aziendale; tra le più comuni, di comprovata efficienza, troviamo:

  • La predisposizione di un’informativa sul trattamento chiara, precisa e trasparente a favore dell’interessato, la quale deve essere in grado di informare il soggetto in merito a tutte le operazioni che saranno effettuate con i suoi dati personali, le correlate finalità, i suoi diritti e i relativi contatti aziendali, presso cui egli può far valere gli stessi[6].
  • La ricezione del consenso dell’interessato, il quale deve essere manifestato liberamente, in maniera espressa e deve derivare da una chiara espressione di volontà informata dello stesso[7].
  • La nomina, laddove necessario, di un Data Protection Officer (DPO), il quale si configura come una figura indipendente, dotata di una rilevante esperienza e competenza nel campo, responsabile di affiancare e sostenere i titolari nella gestione e nella conservazione dei dati personali, nel rispetto della normativa europea[8].
  • La tenuta di un registro dei trattamenti, che si configura come un documento di analisi e censimento, periodicamente aggiornato, dei trattamenti effettuati dal titolare, al fine di dimostrare la conformità con la relativa normativa europea [9].

3.Conclusioni

In conclusione, al giorno d’oggi, in una realtà aziendale travolta dall’attuale pandemia, assicurare la cybersicurezza è sempre più complicato e allo stesso tempo assolutamente necessario, dato l’incremento di crimini informatici, da parte di hacker che approfittano della crisi globale per introdursi illecitamente in reti e sistemi aziendali.

In primo luogo, si pongono problematiche in relazione alla nuova modalità di esecuzione della prestazione lavorativa, ossia il lavoro da remoto, c.d. smartorking, dal momento che le singole prestazioni lavorative sono svolte al di fuori dell’ambiente ordinario di lavoro e di conseguenza, sono poste al di fuori del network aziendale, il quale assicura una forte garanzia di tutela per i propri sistemi e le proprie infrastrutture digitali, sicché si rende necessario l’incremento di presidi, anche temporanei, volti alla realizzazione di un’equivalente sistema di protezione [10]. D’altra parte, però, è pur vero che nell’attuale realtà aziendale, caratterizzata da una profonda crisi economica, la sicurezza informatica e i relativi costi potrebbero essere accantonati, per risolvere le più “urgenti” contingenze economiche. Ed è proprio qui che bisogna intervenire: è assolutamente necessario che le aziende acquisiscano una profonda consapevolezza circa l’estrema rilevanza della tutela delle reti e delle infrastrutture digitali, la quale lungi dall’essere un fattore secondario, ma, al contrario, si afferma come requisito fondamentale in una realtà aziendale sicura ed efficiente.

Pertanto, per far fronte ai crimini informatici e ai correlati costi inattesi per la loro risoluzione, è fondamentale per le aziende adottare, in via preventiva, un’efficiente “Data Strategy”, la quale si configura come una strategia di gestione e di protezione dei sistemi informatici e dei relativi dati in esso contenuti, che deve essere considerata parte integrante ed attiva dell’organizzazione aziendale, nonché espressione di una ferma e precisa “security awereness” dell’organizzazione aziendale, ossia la precisa consapevolezza dei pericoli presenti nel cyberspazio e del necessario adeguamento delle misure di sicurezza alla continua evoluzione tecnologica.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Bibliografia

 

  • Brighi R., La vulnerabilità nel cyberspazio, in “Il Mulino – Riviste web”, 2017, p. 81
  • Martino L., La quinta dimensione della conflittualità. L’ascesa del cyberspazio e i suoi effetti sulla politica internazionale, in “Il Mulino – Riviste web”, 2018, p. 60
  • Netti E., Cybersicurezza: crescono le richieste di riscatto per i file crittati o sottratti, in com, 29 Settembre 2020
  • Ziccardi G., La protezione dei dati nel contesto della piccola e media impresa tra GDPR e cybersecurity, in “Il Mulino – Riviste web”, 2020, p. 42

[1] Martino L., La quinta dimensione della conflittualità. L’ascesa del cyberspazio e i suoi effetti sulla politica internazionale, in “Il Mulino – Riviste web”, 2018, p. 60

[2] Brighi R., La vulnerabilità nel cyberspazio, in “Il Mulino – Riviste web”, 2017, p. 83

[3] Art. 24 GDPR : << 1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario; 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento; 3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento. >>

[4] Art. 30 GDPR : << 1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1; 2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1; 3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico; 4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo; 5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 >>.

[5] Ziccardi G., La protezione dei dati nel contesto della piccola e media impresa tra GDPR e cybersecurity, in “ Il Mulino – Riviste web”, 2020, p. 46

[6] Art. 13 GDPR : << 1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull’art. 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’art. 46 o 47, o all’art 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili; 2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull’art. 6, paragrafo 1, lettera a), oppure sull’art. 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un’autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato;3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2; 4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

[7] Art. 7 GDPR: <<  1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali; 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante; 3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato; 4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto >>

[8] Art. 37 GDPR : << 1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10;2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento; 3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione; 4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento; 5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39; 6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi;7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo >>.

[9] Vedi nota n. 3

[10] Netti E., Cybersicurezza: crescono le richieste di riscatto per i file crittati o sottratti, in ilsole24ore.com, 29 Settembre 2020.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!