“Gli ultimi cinque anni sono stati caratterizzati da un aumento dei servizi digitali e da un conseguente e fisiologico aumento dei problemi di sicurezza informatica…”
Partendo da queste considerazioni, il dott. Edoardo Limone, ICT Specialist e Cyber Security Expert, ci regala un nuovo approfondimento in previsione della sua lezione del 14 dicembre Procedure di Privacy Impact Assessment (PIA) e Data Breach. per l’edizione autunnale del Mastercourse 2021.
Lo scenario
Inizialmente questi problemi erano limitati a creare malfunzionamenti tecnici legati a macchine ed applicativi, oggi, invece, sono concentrati sulla sottrazione e alterazione illecita di dati personali. I danni economici e reputazionali a carico delle aziende sono spesso incalcolabili; basti pensare che l’azienda PolyNetwork, nell’agosto 2021, ha subito un furto di 612 milioni di dollari. Si tratta di problematiche che, spesso, non sono risolvibili con il mero acquisto di hardware o software e che, invece, richiedono soluzioni complesse che coinvolgono gli aspetti più organizzativi e legati al cosiddetto “fattore umano”. Tra l’altro, dietro questi disastri non è detto che vi sia necessariamente negligenza da parte degli operatori, molto spesso l’elemento critico è l’impreparazione e la scarsa conoscenza degli elementi di rischio.
Prime soluzioni
Il Garante Europeo ha massimizzato l’attenzione sulla protezione dei dati personali e per questo ha introdotto regole orientate non solo alla difesa della privacy dell’individuo, ma anche alla prevenzione. Una tra queste è legata all’analisi d’impatto, altresì definita Data Protection Impact Analysis (DPIA). La realizzazione di una DPIA, pur essendo una buona prassi, non è sempre facoltativa, ci sono casi ben precisi in cui è obbligatoria e la sua realizzazione richiede un lavoro sartoriale preciso e di assoluta concretezza.
Da quando il GDPR è entrato in vigore, la DPIA si è mostrata una delle procedure di prevenzione più efficace per evitare l’utilizzo illegittimo dei dati da parte di soggetti non autorizzati al trattamento. Questo è stato possibile perché l’analisi d’impatto prende in esame tutti gli aspetti di complessità legati al trattamento e ne valuta i rischi a cui sono potenzialmente esposti per poi proporre contromisure attendibili ed efficaci con le quali mitigare le possibili conseguenze. Data breach come quello che ha colpito la Regione Lazio, o quello a carico dell’Agenzia Regionale della Sanità della Regione Toscana, dimostrano la fondamentale importanza di un approccio preventivo e strutturato.
Maggiori skills, maggiore sicurezza
Ai professionisti del settore privacy, sia del comparto giuridico che tecnico, si richiede pertanto una visione più strategica, multidisciplinare, completa ed in grado di valutare le rischiosità nel loro complesso. Un approccio che sia quanto mai proattivo ed in grado di anticipare quelli che possono essere i fattori di rischio sul trattamento. Anche per questo motivo, durante i processi formativi, è veramente importante implementare sessioni di simulazione in grado di stimolare la ricerca di soluzioni sia singolarmente che in gruppo, mostrando approcci differenti ma ugualmente validi nel trattamento delle rischiosità. Infine, è fondamentale acquisire un linguaggio adeguato che permetta ai professionisti di relazionarsi correttamente con tutti gli attori coinvolti durante la gestione di un data breach e che permetta, di conseguenza, di adottare correttamente tutte procedure necessarie a risolvere la problematica.
Ti interessa questa tematica?
Non perdere l’occasione di confrontarti direttamente con gli esperti, nella nuova edizione del Mastercourse.