Negli ultimi anni, la sicurezza informatica e la protezione dei dati sono diventati temi di fondamentale importanza per le imprese di tutto il mondo, chiamate ad adottare misure adeguate a tutelare le informazioni interne e quelle relative ai propri clienti. Anche a livello normativo molto è cambiato nel giro di poco tempo, con l’Europa che è arrivata a definire in tempi recenti il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel 2018, ad oggi la principale normativa in materia di privacy e protezione dei dati personali. Ma come si inserisce la sicurezza informatica nel contesto del GDPR? E soprattutto, è vero che la sicurezza informatica è esclusa dal GDPR? Cerchiamo di capire meglio cosa è cambiato e come i servizi digitali del Competence Center Enabling Technologies & Security di Impresoft possono supportare le aziende in tal senso.
Per capire meglio di cosa stiamo parlando, cerchiamo innanzitutto di chiarire il concetto di GDPR. Il GDPR altro non è che il regolamento dell'Unione Europea che stabilisce le linee guida per la raccolta, il trattamento e la protezione dei dati personali dei cittadini europei. La normativa si applica a tutte le aziende che operano nell'UE, nonché a quelle che trattano dati di cittadini europei, indipendentemente dalla loro sede legale, e si pone l’obiettivo di garantire la massima sicurezza possibile delle informazioni sensibili riguardanti tutti i soggetti interessati.
Concentrandoci più in particolare in ambito informatico, il GDPR richiede alle aziende di implementare misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdite o altre violazioni. Ciò include l'adozione di tecniche di crittografia, l'uso di sistemi di autenticazione e l'implementazione di processi di monitoraggio continuo per prevenire e rilevare eventuali minacce alla sicurezza dei dati.
Il Decreto Legislativo n. 24 del 10/03/2023 ha inoltre introdotto la pratica del Whistleblowing, intendendo con questo termine la rivelazione spontanea, anche in forma anonima, di eventuali irregolarità.
Sebbene molti pensino il contrario, la sicurezza informatica non è affatto esclusa dal GDPR, anzi essa è uno degli elementi chiave del regolamento. L'articolo 32 del GDPR, infatti, impone alle organizzazioni di adottare misure adeguate a garantire la sicurezza dei dati personali, proporzionate ai rischi connessi al trattamento delle informazioni e tenendo conto della situazione complessiva.
Il GDPR non solo non esclude la Cybersecurity, ma ne fa un elemento fondamentale. Le organizzazioni devono infatti dimostrare di avere implementato misure di sicurezza adeguate e, in caso di violazione dei dati, sono tenute a notificare l'evento alle autorità competenti entro 72 ore. Inoltre, il regolamento prevede pesanti sanzioni per le aziende che non rispettano le normative sulla protezione dei dati, con multe che possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale sia maggiore.
Cosa devono fare, dunque, le aziende per essere in regola con le normative europee? Il GDPR non specifica in dettaglio le misure di sicurezza che le aziende devono adottare, lasciando loro la flessibilità di scegliere le soluzioni più adatte in base alla natura dei dati trattati e ai rischi specifici; tuttavia, vengono suggerite alcune buone pratiche, che permettono di assicurare un buon livello di protezione:
Sebbene il GDPR copra un ampio spettro di questioni relative alla protezione dei dati, ci sono comunque alcune aree che non sono direttamente disciplinate dal regolamento e che è opportuno conoscere:
Le misure di sicurezza richieste dal regolamento sono insomma progettate per proteggere i dati personali e per garantire che le aziende siano in grado di rispondere adeguatamente a eventuali minacce, un importante passo in avanti per tutelare tutti i soggetti coinvolti nello scambio informativo.