Recentemente sono stati rilevati in Italia di circa 1670 attacchi informatici, con una percentuale di crescita del 7,6% rispetto al 2018 e del 91,2% rispetto al 2014.
Questa percentuale, tuttavia, si riferisce solo ad attacchi reali, vale a dire quelli che hanno superato tutte le difese esistenti adottate dai responsabili del trattamento o dai responsabili del trattamento dei dati e che pertanto hanno causato danni significativi, senza considerare tentativi di attacco falliti e/o bloccati.
Le aziende colpite da attacchi informatici appartengono alle categorie più svariate, dalle società che forniscono servizi online o cloud ai servizi di telecomunicazione, dal settore della vendita al dettaglio fino al settore bancario: questo fatto dunque dimostra che nessuno è immune da questo tipo di pericolo.
Senza dubbio un ulteriore motivo di preoccupazione è dettato dal fatto che, complice la situazione di emergenza che stiamo vivendo, l’incremento del lavoro a distanza, spesso utilizzando connessioni o terminali non sicuri, moltiplica i rischi di data breach.
Va sottolineato che la maggior parte delle violazioni dei dati è causata dall’adozione di misure di sicurezza tecniche insufficienti o da errori umani.
Il concetto di adeguatezza delle misure tecniche è certamente mutevole e indefinito dal momento che il GDPR non indica misure minime da adottare per garantire la sicurezza dei dati, ma al contrario richiede al responsabile del trattamento di effettuare una valutazione caso per caso di ciò che è effettivamente adeguato, tenendo conto sia dei costi di attuazione delle misure che intende adottare, che la natura, l’oggetto, il contesto e le finalità del trattamento, e infine i rischi per i diritti e le libertà delle persone fisiche.
Dal punto di vista organizzativo, un modello interno di conformità alla privacy è certamente essenziale: risulta pertanto necessario identificare le persone che hanno un ruolo di particolare rilevanza.
In questo contesto spesso si presume che la nomina di un responsabile della protezione dei dati sia sufficiente, ma non è così: il responsabile della protezione dei dati svolge il ruolo di consulente e responsabile delle attività del responsabile del trattamento, fornendo consigli e suggerimenti, ma la decisione finale spetta al responsabile del trattamento, che deve quindi essere consapevole dei rischi derivanti dalle scelte effettuate.
Questa politica, a seconda delle circostanze, deve identificare i ruoli assegnati al soggetto competente in merito al trattamento dei dati personali, con annessi obblighi e le istruzioni ad essi applicabili al fine di garantire che le procedure adottate siano rese note all’insieme di impiegati di un’azienda e che siano ben comprese anche attraverso attività di formazione per dipendenti e collaboratori.
Inoltre, ci sono tutte le misure tecniche di sicurezza che il proprietario deve adottare e il GDPR, ad esempio, si riferisce semplicemente alla crittografia dei dati personali, tuttavia la loro idoneità deve essere nuovamente valutata sulla base dell’effettivo trattamento.
Molte autorità e istituzioni, come il Dipartimento della Pubblica Amministrazione o il Garante della protezione dei dati, hanno fornito suggerimenti e linee guida sulle pratiche da seguire per garantire la sicurezza IT nel lavoro a distanza, fornendo suggerimenti in merito all’attivazione di una connessione VPN, o la creazione di un sistema di gestione remota dei dispositivi, con il quale i tecnici IT dell’azienda possono monitorare e gestire eventuali problemi, dopo aver valutato la compatibilità della privacy di questi strumenti con le disposizioni dello Statuto dei lavoratori.
Scrivi un commento
Devi accedere, per commentare.