il protocollo

Il GDPR come legge sulla sicurezza informatica? Sinergie e nodi da sciogliere

A volte si ha l’impressione che quando si parla di sicurezza informatica ci sia molta confusione in fatto di norme da seguire, invece una normativa principale, che guida tutti i processi decisionali di pianificazione c’è: è il Gdpr. Vediamo gli ultimi sviluppi

21 Feb 2022
Andrea Attilio Grilli

Consulente GDPR-Web Marketing, Docente a contratto UNIMC-FGCAD, DPO.

Il rispetto del GDPR è il presupposto per l’adozione di un piano di sicurezza informatica. Anzi, il legame tra GDPR e cybersecurity, sebbene non evidente ai più, è tale che il 26 gennaio 2022 le due autorità nazionali, Garante privacy e Agenzia per la cybersecurity nazionale, hanno sottoscritto un protocollo di intesa[1] che include, tra le altre cose, anche il monitoraggio congiunto dei data breach, con il Garante che “provvederà a informare l’Agenzia delle notizie di data breach rilevanti ai fini della cybersicurezza del Paese e, in particolare, della sicurezza nello spazio cibernetico.”

Il tema, quindi, diventa trasversale e simbiotico tra varie autorità nazionali: “La sigla del protocollo d’intenti rappresenta un momento molto importante per la tutela dei dati personali e della stessa cybersecurity nel nostro Paese. Si attua, così, una previsione particolarmente lungimirante della disciplina istitutiva dell’Agenzia, laddove delinea nella cooperazione con il Garante uno dei punti qualificanti della strategia di tutela della cybersicurezza”, ha commentato il Presidente del Garante Pasquale Stanzione.

Tre anni di GDPR: cosa abbiamo imparato e cosa ci aspetta per il prossimo futuro

Il Gdpr e la sicurezza informatica

Senza una normativa unica che obblighi tutti a porre al centro dei loro processi decisionali la sicurezza informatica, siamo sempre in una situazione frammentata. Come un castello medievale, dove le mura e il fossato fossero amministrati da autorità diverse.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Eppure, se analizziamo con attenzione, un privato quanto un pubblico, trattano dati e questi sono sia personali che non. Ma non sono separabili in un sistema informatico. Anche se dovessi avere server dove distribuisco i dati secondo la distinzione “personali e anonimizzati”, questi sono sempre dentro una rete aziendale (anche pubblica). Le difese perimetrali come endpoint sarebbero sempre le stesse e non potrebbero essere inferiori alla adeguatezza necessaria per proteggere i dati.

Una normativa principale, che guida tutti i processi decisionali di pianificazione della sicurezza informatica esiste, quindi, e forse molti lo hanno capito, anche solo come effetto delle misure che bisogna adottare per proteggere i dati.

Due sono i riferimenti che bisognerebbe prendere in considerazione. Prima di tutto l’art.5 del GDPR, e quindi il principio di accountability, di responsabilizzazione. L’imprenditore o il dirigente della PA, se sono responsabili della protezione dei dati personali, di fatto sono responsabili di tutto il sistema di protezione dei dati, personali e non, perché non sono scindibili e non avrebbe senso scindere i due temi dalla sicurezza informatica.

Il tutto come sappiamo si integra con l’art.32 del GDPR.

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…)”.

L’art.32 è uno dei più importanti e fondamentali articoli del GDPR, perché impone al titolare del trattamento dei dati di adottare misure di sicurezza e questo impatta su tutto il sistema informativo. Anche i dati anonimizzati ne giovano, anche i dati “non personali”, spesso parte del know-how aziendale. Non è possibile proteggere una parte del valore di una organizzazione e lasciare non protetto il resto. Inoltre, la stessa determinazione dell’art.32 imponendo misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio sta sintetizzando in poche righe alcuni dei cardini della Sicurezza Informatica.

Questo implica che una normativa unica per tutti, pubblico e privato, un insieme di regole di alto profilo che impongono di adottare misure di sicurezza Informatica ci sono e sono contenute nel GDPR.

Questo impone a sua volta, sempre coerentemente con le disposizioni del GDPR, il rispetto degli standard, l’uso di certificazioni, e tutta una serie di modalità di lavoro che hanno come conseguenza finale la messa in sicurezza del sistema informatico e informativo.

Il nodo delle certificazioni

Tutto questo appare come una jungla dove si mescolano anche certificazioni delle aziende produttrici dei sistemi di sicurezza, certificazioni ISO 27001 e seguenti, fino alla recente ISO/IEC TS 27110:2021 Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines, che dovrebbe fornire le istruzioni per la protezione dei dati personali in contesto digitale.

Conclusioni

Non rimane da sottolineare che se si adottano metodi, processi, strumenti e cultura della sicurezza informatica per proteggere i dati personali, si protegge l’intero patrimonio e la produttività dell’azienda o dell’ente pubblico. La sinergia che si sta costruendo tra autorità nazionale rappresenta a livello macro quello che dovrebbe succedere a livello micro nelle aziende o nelle PA.

Note

  1. Il comunicato del Garante Privacy: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9739921
  2. Sull’incendio che fermato le attività di un data center di OVH si può leggere l’articolo https://www.cybersecurity360.it/soluzioni-aziendali/ovh-down-unutile-lezione-su-come-contrastare-gli-attacchi-ddos/

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4