Negli ultimi anni, la sicurezza informatica e la protezione dei dati sono diventati temi di fondamentale importanza per le imprese di tutto il mondo, chiamate ad adottare misure adeguate a tutelare le informazioni interne e quelle relative ai propri clienti. Anche a livello normativo molto è cambiato nel giro di poco tempo, con l’Europa che è arrivata a definire in tempi recenti il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel 2018, ad oggi la principale normativa in materia di privacy e protezione dei dati personali. Ma come si inserisce la sicurezza informatica nel contesto del GDPR? E soprattutto, è vero che la sicurezza informatica è esclusa dal GDPR? Cerchiamo di capire meglio cosa è cambiato e come i servizi digitali del Competence Center Enabling Technologies & Security di Impresoft possono supportare le aziende in tal senso.
Cos'è il GDPR in informatica?
Per capire meglio di cosa stiamo parlando, cerchiamo innanzitutto di chiarire il concetto di GDPR. Il GDPR altro non è che il regolamento dell'Unione Europea che stabilisce le linee guida per la raccolta, il trattamento e la protezione dei dati personali dei cittadini europei. La normativa si applica a tutte le aziende che operano nell'UE, nonché a quelle che trattano dati di cittadini europei, indipendentemente dalla loro sede legale, e si pone l’obiettivo di garantire la massima sicurezza possibile delle informazioni sensibili riguardanti tutti i soggetti interessati.
Concentrandoci più in particolare in ambito informatico, il GDPR richiede alle aziende di implementare misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdite o altre violazioni. Ciò include l'adozione di tecniche di crittografia, l'uso di sistemi di autenticazione e l'implementazione di processi di monitoraggio continuo per prevenire e rilevare eventuali minacce alla sicurezza dei dati.
Il Decreto Legislativo n. 24 del 10/03/2023 ha inoltre introdotto la pratica del Whistleblowing, intendendo con questo termine la rivelazione spontanea, anche in forma anonima, di eventuali irregolarità.
Sicurezza informatica e GDPR: l'esclusione è reale?
Sebbene molti pensino il contrario, la sicurezza informatica non è affatto esclusa dal GDPR, anzi essa è uno degli elementi chiave del regolamento. L'articolo 32 del GDPR, infatti, impone alle organizzazioni di adottare misure adeguate a garantire la sicurezza dei dati personali, proporzionate ai rischi connessi al trattamento delle informazioni e tenendo conto della situazione complessiva.
Il GDPR non solo non esclude la Cybersecurity, ma ne fa un elemento fondamentale. Le organizzazioni devono infatti dimostrare di avere implementato misure di sicurezza adeguate e, in caso di violazione dei dati, sono tenute a notificare l'evento alle autorità competenti entro 72 ore. Inoltre, il regolamento prevede pesanti sanzioni per le aziende che non rispettano le normative sulla protezione dei dati, con multe che possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale sia maggiore.
Quali sono le misure di sicurezza previste dal GDPR?
Cosa devono fare, dunque, le aziende per essere in regola con le normative europee? Il GDPR non specifica in dettaglio le misure di sicurezza che le aziende devono adottare, lasciando loro la flessibilità di scegliere le soluzioni più adatte in base alla natura dei dati trattati e ai rischi specifici; tuttavia, vengono suggerite alcune buone pratiche, che permettono di assicurare un buon livello di protezione:
- Crittografia dei dati, che permette di proteggere i dati rendendoli inaccessibili a chiunque non possieda la chiave di decrittazione.
- Pseudonimizzazione, volta a ridurre i rischi per i dati personali rendendo anonimi o pseudoanonimi i dati sensibili.
- Autenticazione a due fattori per prevenire accessi non autorizzati.
- Backup regolari per garantire il recupero in caso di perdita o danneggiamento.
Cosa non rientra nel GDPR?
Sebbene il GDPR copra un ampio spettro di questioni relative alla protezione dei dati, ci sono comunque alcune aree che non sono direttamente disciplinate dal regolamento e che è opportuno conoscere:
- La sicurezza dei dati non personali: il GDPR si applica esclusivamente ai dati personali. Pertanto, i dati anonimi o non riconducibili a una persona fisica non sono soggetti alle normative del GDPR.
- L'uso di dati per scopi esclusivamente personali o domestici: il regolamento non si applica al trattamento di dati effettuato da un individuo per scopi esclusivamente personali o familiari, senza connessione con un'attività professionale o commerciale.
- La protezione dei dati a livello nazionale: il GDPR stabilisce uno standard minimo di protezione dei dati, ma gli Stati membri possono introdurre normative più severe a livello nazionale.
Le misure di sicurezza richieste dal regolamento sono insomma progettate per proteggere i dati personali e per garantire che le aziende siano in grado di rispondere adeguatamente a eventuali minacce, un importante passo in avanti per tutelare tutti i soggetti coinvolti nello scambio informativo.