News

GDPR Privacy

Normativa sulla Privacy: perché dal 2023 sarà più importante?

Il  rapporto annuale di Clusit (realtà italiana di riferimento nella sicurezza informatica e sulla normativa sulla privacy), già nel 2018 evidenziava come il 45% delle aziende italiane avesse subito cyber attacchi. Da anni, ormai, si tratta di un trend in costante crescita. E, dal 2017 ad oggi, gli attacchi cyber sono aumentati del 66%.

Non a caso quasi la metà del personale responsabile delle infrastrutture IT aziendali (46%) teme che un attacco ransomware (con annessa richiesta di riscatto) possa portare alla chiusura della loro attività durante questo periodo se non dovessero aumentare gli investimenti nella sicurezza.

Un  altro studio di Canalys, tra le principali società di analisi del mercato tecnologico globale, già nel 2020 evidenziava in quell’anno erano state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni, e alcune di queste violazioni avevano avuto effetti catastrofici su servizi essenziali (come ad esempio per gli ospedali).

È quindi chiaro che lo scenario attuale impone un alto standard di conformità nei confronti della normativa sulla privacy, per mitigare innanzitutto gli effetti assolutamente negativi di una violazione dei dati personali (il cosiddetto  data breach); effetti che potremmo sintetizzare in questi termini:

  • Perdita di dati personali e violazione della normativa sulla privacy: tralasciando l’aspetto etico derivante dalla responsabilità di gestire nel miglior modo possibile le informazioni di altri soggetti (dipendenti, clienti e fornitori in primis), è evidente che oggi i dati personali rappresentano un asset di valore che, in quanto tale, necessita di una protezione adeguata. Ogni fuga di dati personali rappresenta anche un enorme danno di immagine, che peraltro può comportare – a norma di legge – anche la comunicazione dell’evento ai propri clienti e fornitori. Questa eventualità è certamente da scongiurare avendo ricadute immediate sul brand aziendale, come testimonia il recente attacco hacker nei confronti di Ho Mobile, l’operatore virtuale di telefonia mobile, che dopo l’accaduto e il tam-tam mediatico che ne è seguito, ha visto registrare una fuga in massa dei suoi clienti verso altre compagnie.
  • Interruzione dell’operatività aziendale: in molti casi (come nell’ipotesi di attacchi ransomware), il data breach può comportare un blocco dei server aziendali o di altri settori focali dell’azienda, determinando altresì una sospensione della normale attività lavorativa. In questi frangenti, un corretto sistema di gestione dei dati personali, insieme a procedure di risposta efficienti e resilienti, sono un elemento decisivo per minimizzare l’impatto di questi eventi di danno.
  • Sanzioni: un data breach può avere riflessi negativi anche sotto il profilo delle sanzioni, oggi certamente significative (fino a € 20 milioni o il 4% del fatturato globale annuo). L’entità di tali sanzioni sono certamente un fattore di cui tenere conto in una valutazione di costi-benefici. In questo senso, una corretta conformità alla normativa sulla privacy riduce sensibilmente l’eventuale applicazione delle stesse sanzioni, perché l’Autorità Garante è la prima ad essere cosciente che il rischio zero in ambito di sicurezza informatica non esiste. Per cui, l’azienda che dimostra di aver fatto tutto ciò che era in suo potere per mitigare eventuali rischi, ha grandi probabilità di non essere soggetta alle pesanti sanzioni del GDPR.

Come si è detto, quindi, nessuno è in grado di garantire l’azzeramento dei rischi derivanti dal data breach. Quello che si può fare è agire preventivamente in modo da ridurre al minimo il rischio derivante dal trattamento dei dati di nostri clienti e fornitori, e al rispetto della normativa sulla privacy.

La mappatura dei flussi, l’individuazione di chiare regole di ingaggio per il trattamento dei dati personali effettuato da dipendenti e da collaboratori (interni ed esterni), la redazione di valutazioni di impatto, laddove sia identificato un rischio elevato, sono tutte attività utili per garantire un corretto trattamento dei dati personali, minimizzando al contempo il rischio per la violazione e divulgazione a terzi degli stessi.

È proprio questo che, come Studio Legale, ci proponiamo di fare: un’attività di consulenza che non si limiti all’adeguamento alla normativa sulla privacy ma che crei un valore per il Cliente in termini di maggiore sicurezza dei dati personali per affrontare con più serenità eventuali imprevisti e allo stesso tempo per creare una relazione di fiducia con i propri clienti basata su un trattamento trasparente dei loro dati personali.

Una società che si adegua al GDPR è una società che, anche in caso di data breach, non teme lo spettro di provvedimenti sanzionatori o di danni alla sua reputazione, perché sicura di aver fatto quanto in suo potere per proteggere i dati personali di cui è in possesso, sempre nel rispetto della normativa sulla privacy.

Quale percorso di conformità affrontare per tutelarti?

Il percorso di conformità alla normativa sulla privacy necessita però di una profonda analisi dell’azienda, agendo sulle criticità per rendere più efficaci e snelli i processi aziendali:

  • In una prima fase, l’attenzione è riposta sull’analisi del rischio (il cosiddetto risk analysis), con la pianificazione di una serie di audit allo scopo di individuare le adeguate misure di sicurezza da implementare in rapporto alla natura ed entità dei dati personali trattati (cosiddetto gap analysis);
  • Si procede quindi alla stesura del registro del trattamento (art. 30 GDPR), documento essenziale per creare una mappa concettuale di tutti i flussi di dati all’interno dell’azienda (cosiddetto data mapping), identificando il ciclo vitale del dato. Il registro, infatti, permette di capire, per ogni dato personale, qual è il suo punto di raccolta, tracciando ogni suo passaggio interno – tra i dipartimenti aziendali – ed esterno, laddove ci si appoggi a fornitori terzi e servizi in outsourcing;
  • È anche l’occasione per fissare limiti nella conservazione dei dati personali (cosiddetto data retention) e per riflettere sullo stato attuale del data base aziendale, eliminando eventuali dati non necessari.

Questi passaggi sono fondamentali perché, memori di quanto detto all’inizio in tema di data breach, ogni dato personale è fonte di responsabilità per l’azienda che ne è titolare; per cui è cruciale trattare solo i dati strettamente necessari e utili alle finalità preposte, ottemperando al principio di minimizzazione dei dati (art. 5 GDPR).

In quella sede può nascere anche l’esigenza di effettuare valutazioni di impatto per i trattamenti ad alto rischio, seguendo le metodologie riconosciute a livello internazionale (come ad esempio il metodo ENISA); questo processo è fondamentale in sede di controllo ispettivo, perché testimonia la grande attenzione di un’azienda per la questione della normativa sulla privacy e la volontà di porre azioni concrete a mitigazione delle situazioni più rischiose.

Quindi per un corretto adempimento della Normativa sulla Privacy, segue una fase di redazione di policy e procedure inerenti alle attività aziendali (come ad esempio la policy di gestione delle e-mail, della gestione data breach, dei regolamenti sull’uso di device personali, eccetera), oltre alla redazione di tutte le informative necessarie, anche a favore di dipendenti e collaboratori.

Concluso il percorso di adeguamento, è importante attivarne uno nuovo di monitoraggio e aggiornamento mediante audit semestrali o annuali, a seconda del contesto aziendale, oltre ad implementare sessioni di formazione a tutto il personale.

Normativa sulla Privacy: segnaliamo un trend in forte crescita per il 2023.

Un modello organizzativo basato su un corretto trattamento dei dati personali sta diventando un elemento di competitività tra aziende concorrenti sul mercato. Ciò è dovuto da una serie di fattori che proviamo ad elencare:

  • A quasi 3 anni dall’applicazione effettiva del GDPR, è aumentata considerevolmente la sensibilità di utenti e consumatori finali sul tema della normativa sulla privacy. Quest’ultimi, dunque, sempre di più scelgono un prodotto o servizio anche in ragione del livello di protezione garantito dalle aziende sui loro dati.
  • La conformità alla normativa sulla privacy è un elemento decisivo anche nei rapporti B2B, cioè fra aziende; si collabora e si crea network solo con realtà con cui si può serenamente condividere dati personali per finalità comuni.
  • La normativa sulla privacy è ormai un elemento non più accessorio ma fondamentale nella creazione di un prodotto o servizio. Chi non si adegua a questo cambiamento rischia di perdere risorse e investimenti.

 

In quest’ottica va dunque visto il percorso di adeguamento che proponiamo alle aziende clienti. Non certo un adempimento legale, ma un valore di crescita per le stesse aziende in termini di sicurezza e di competitività sul mercato.

Articoli correlati

Garante Privacy e metadati posta elettronica dei dipendenti
Verso un futuro cookieless
Tutte le news