Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

Editoriale – Raccomandazione dell’OCSE sulla Digital Security

di Valentina Frediani

“È impossibile poter eliminare totalmente il rischio digitale, ma questa sfida può e deve essere governata in modo efficace”. Queste le parole del Garante della Privacy, nel comunicato stampa che ha seguito la pubblicazione della Raccomandazione Ocse su “Digital Security Risk Management for Economic and Social Prosperity” dello scorso 17 Settembre 2015.

Il Garante ha accolto con dovuto interesse il documento dell’Organizzazione che prescrive l’adozione di otto step fondamentali agli stakeholders coinvolti dalla tematica della sicurezza digitale. Considerazione questa non di poco conto se consideriamo che – parafrasando l’intervento dell’autorità italiana – il ricorso agli strumenti tecnologici innovativi, per esemplificare IoT, sanità elettronica, cloud computing, può comportare il rischio di esporre le informazioni di milioni di cittadini ad attacchi informatici, perdite o distruzioni con gravi conseguenze anche finanziarie, sulla competitività e sulla fiducia tra clienti, dipendenti, azionisti.

L’intervento dell’Organizzazione deputata a favorire la cooperazione e lo sviluppo economico ha individuato alcuni principi generali che dovranno aiutare le imprese e le istituzioni coinvolte ad implementare un modello di sicurezza digitale in grado di tutelare in primis i diritti degli interessati, ma anche gli interessi economici rilevanti. Lo sviluppo del mercato digitale rappresenta una parte fondamentale ed essenziale nel funzionamento delle economie globali e del progresso sociale, in grado di generare nuove opportunità di fare impresa.

Se il progresso tecnologico risulta un aspetto fondamentale per le economie mondiali, altrettanto sembra esserlo – secondo la Raccomandazione – la creazione e l’implementazione di perimetri di sicurezza delle informazioni coinvolte.

Il monito della Raccomandazione non lascia dubbi all’interpretazione e rappresenta un evidente invito nei confronti dei Governi e delle istituzioni coinvolte a farsi responsabili nella gestione del rischio in materia di sicurezza digitale, tematica questa da introdurre nella pianificazione generale.

E le istituzioni coinvolte sono molteplici: governi, organizzazioni pubbliche e private, ma anche i singoli soggetti allo stesso modo interessati da una gestione consapevole del rischio connesso al progresso tecnologico ed alla conseguente tematica della sicurezza digitale.

I principi individuati dall’Organizzazione spaziano dalla consapevolezza degli stakeholders circa le ripercussioni che i rischi informatici hanno sugli aspetti economici e sociali delle imprese. Rischi che possono essere abbattuti mediante alcuni fattori chiave: capacità, responsabilità, innovazione, prontezza e continuità delle soluzioni adottate. Il senso è quello di ridurre gli incidenti legati alla sicurezza digitale e contemporaneamente favorire il progresso economico e sociale delle attività. Tali principi dovranno essere applicati secondo un modello di cooperazione multilivello da svilupparsi verso l’alto mediante il coinvolgimento non solo delle pubbliche istituzioni, ma anche dei singoli privati e verso l’esterno non potendo prescindere da un approccio di tipo internazionale.

Gli strumenti idonei a ridurre i rischi connessi alla sicurezza digitale sono ravvisabili nell’implementazione delle misure di sicurezza siano queste fisiche o logiche. In tale ottica, l’Ocse raccomanda l’adozione di strategie nazionali volte a creare le condizioni favorevoli per gli stakeholders, nonché nuovi standard di sicurezza da adottare a tutela delle informazioni gestite nell’attività professionale ed economica svolta.

In ragione di quanto sopra esposto, è evidente come le “regole della privacy” contribuiscano a creare un sistema più sicuro o quantomeno riducano drasticamente i rischi legati alla perdita di informazioni, aumentando sensibilmente il livello di sicurezza digitale delle medesime.

Lo scopo primario della disciplina europea (Dir. CE/95/46) e di quella nazionale (D. lgs. 196/2003) è quello di tutelare il dato personale e garantire l’esercizio dei diritti dell’interessato cui il dato personale afferisce.
Altrettanto vero è che le fonti appena citate rappresentino anche forme di tutela del know-how aziendale: tutelare la sicurezza delle informazioni necessarie al business equivale a tutelare il business stesso.

Tra gli strumenti che possono essere utilizzati per mettere in sicurezza le informazioni e ridurre i rischi derivanti da una perdita di dati vi sono le misure minime di sicurezza di cui all’Allegato B, Disciplinare Tecnico, del D. lgs. 196/2003.
Lo scopo primario di tali misure è analogo alla ratio sottesa alla Raccomandazione sulla Digital Security ovvero evitare o quantomeno ridurre al minimo il rischio derivanti dalla distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o trattamento non consentito in base alle finalità perseguite.

Tra le misure minime è opportuno menzionare:

  • la predisposizione delle nomine ad incaricato del trattamento che devono essere rivolte ai soggetti che materialmente intervengono nel trattamento delle informazioni;
  • la predisposizione di adeguate regole relative alla gestione delle credenziali di autenticazione ai sistemi informativi nonché di disabilitazione delle medesime qualora il soggetto assegnatario non si trovi più ad utilizzarle;
  • sistemi di autorizzazione diversificati;
  • la protezione degli strumenti informatici mediante aggiornamento continuo di antivirus e firewall a ciò appositamente dedicati;
  • la mappatura degli amministratori di sistema interni ed esterni;
  • certificazioni di conformità dei prodotti utilizzati.

Da non sottovalutare è l’adozione di regolamenti informatici aziendali che vadano a disciplinare le regole di utilizzo della strumentazione elettronica concessa in uso ai lavoratori (personal computer, posta elettronica, telefoni aziendali, rete internet) in modo da ridurre o evitare sensibili perdite di informazioni trattate ovvero conosciute mediante l’ausilio degli strumenti elettronici.

Infine, la possibilità di nominare i soggetti esterni che intervengono nella filiera del trattamento quali responsabili esterni del trattamento ai sensi dell’articolo 29 del D. Lgs. 196/2003. Tale nomina diventa uno strumento di tutela delle informazioni nel senso di strumento efficace con il quale impartire analitiche istruzioni ai soggetti che effettuano – esemplificando – attività di assistenza tecnica sui sistemi informativi aziendali.

Ebbene, in tale ottica pare assolutamente condivisibile il contenuto della Raccomandazione Ocse sulla Digital Security. In attesa degli interventi legislativi richiesti dalla Organizzazione, il consiglio da dare ai diversi stakeholders è quello di partire con il rispetto degli accorgimenti previsti e a tutela dei dati personali e della sicurezza digitale delle informazioni.

 


Altri articoli di Valentina Frediani

polizze-cyber CYBER INSURANCE: STRUMENTI DI PROTEZIONE DEL PATRIMONIO INFORMATIVO AZIENDALE
di Valentina Frediani (N. II_MMXVI)
Il 2015 ha registrato una crescita esponenziale di numero e varietà di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber. Ma andiamo con ordine.
gdpr Editoriale: Quali conseguenze della GDPR su produttori/fornitori ICT?
di Valentina Frediani (N. II_MMXVI)
I temi introdotti dall’emanazione della General Data Protection Regulation (GDPR) sono molteplici ed a partire da adesso fino al maggio del 2018 è opportuno analizzarli secondo un criterio prioritario. Scorrendo il testo normativo emerge in modo molto chiaro il principio della cosiddetta accountability quindi l’onere del titolare di dimostrare di aver adottato quanto di sua competenza.
trasferimento_dati_usa NUOVA INTESA CON GLI USA SUL TRASFERIMENTO DEI DATI
di Valentina Frediani (N. I_MMXVI)
Il 2 febbraio scorso è stato finalmente raggiunto l’accordo politico tra la Commissione UE e il Governo degli USA sulla privacy ed il trasferimento dei dati verso quest’ultimo paese. Il 31 gennaio 2016 era infatti il termine ultimo che le autorità privacy UE ed il Gruppo di lavoro ex articolo 29 avevano dato alla Commissione europea per arrivare ad un “Safe Harbor 2.0” che tuteli davvero la privacy dei cittadini europei rispetto alle imprese che trasferiscono i dati verso l’USA e che, fino a quel momento, rispettavano solo principi del vecchio Safe Harbor.
data_privacy_officer_small Editoriale – Il “nuovo” DPO nella versione 2016 del Regolamento Europeo
di Valentina Frediani (N. I_MMXVI)
È attesa prima dell’estate l’emanazione del Regolamento Europeo in materia di protezione dati personali. È interessante osservare “l’evoluzione legislativa” di questa figura, in quanto l’adozione della stessa impatta non poco sui soggetti giuridici europei destinatari del Regolamento. Dando una lettura d’insieme dei compiti attualmente attribuiti al DPO, sembra emergere più una figura di auditor rispetto al compito di proattività evidenziato nella versione originaria.
eu-safe-harbor SAFE HARBOR: COSA È ACCADUTO E COME CAMBIERÀ L’ATTUALE SCENARIO
di Valentina Frediani (N. IV_MMXV)
Corte di giustizia dell’Unione europea - Sentenza della Corte (Grande Sezione) del 6 ottobre 2015 - Causa C-362/14. Un cittadino austriaco, che utilizzava Facebook dal 2008, ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti, il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. La sentenza della Corte di giustizia europea invalida la decisione del 26 luglio 2000 della Commissione e pertanto chiede all’autorità irlandese di riesaminare la denuncia e di decidere se, in forza della direttiva 95/46/CE, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti
bcr APPLICAZIONE DELLE BCR: DAL WORKING PARTY ART.29 LE INDICAZIONI
di Valentina Frediani (N. III_MMXV)
Art. 26 Direttiva 95/46/CE. Per le aziende italiane ed europee che intendano allocare fuori dai confine europei I propri dati, occorre adottare una serie di prescrizioni inerenti la gestione dei dati dislocati, attuando un piano di gestione infragruppo o destinato a grandi fornitori che gestiscono i dati in Paesi Terzi. L’WP 29 ha dettato i principi di attuazione destinati ai Controllers ed ai Processors.
job_Act Editoriale – Jobs Act e controlli a distanza: tutto chiaro?
di Valentina Frediani (N. III_MMXV)
Lo scorso 23 settembre sono stati pubblicati in GU i decreti legislativi in attuazione del Jobs Act, dopo l’approvazione del Consiglio dei Ministri del 4 Settembre. Tra i passaggi divenuti oggetto di maggior confronto c’è sicuramente quello relativo alle misure in materia di controllo a distanza dei lavoratori. L’originario articolo 4 è stato integrato. Spicca nel primo comma la possibilità di impiego di impianti audiovisivi e di altri strumenti con finalità di tutela del patrimonio aziendale.
internet-things CONSULTAZIONE SU INTERNET DELLE COSE (Internet of Things)
di Valentina Frediani (N. II_MMXV)
Il Garante per la protezione dei dati personali, con decisione del 26 marzo 2015 pubblicata sul sito web dell’Autorità, ha deliberato l’avvio di una procedura di consultazione pubblica sul tema “Internet delle cose”, con l’obiettivo di acquisire osservazioni e proposte rispetto gli aspetti di protezione dei dati personali illustrati nel provvedimento connessi alle nuove tecnologie classificabili come Internet of Things, con specifico riguardo ai risvolti implementativi dei principi ivi enunciati nonché alle criticità riscontrabili o anche già sperimentate nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali e dei consumatori ove presenti, nonché del mondo universitario e della ricerca scientifica. I contributi, così individuati, dovranno pervenire, entro 180 giorni dalla pubblicazione del presente avviso sulla Gazzetta Ufficiale, all’indirizzo dell’Autorità di Piazza Monte Citorio n. 121, 00186 – Roma, ovvero all’indirizzo di posta elettronica iot@gpdp.it, indicando nell’oggetto il tema di riferimento.
job_Act Editoriale – Jobs Act: rivoluzione nel controllo dei lavoratori
di Valentina Frediani (N. II_MMXV)
Grande rivoluzione sul fronte dell’uso dei dispositivi tecnologici di controllo a distanza? Il tema ruota intorno al controllo del lavoratore come “rivoluzionato” nell’ambito del Jobs Act. L’articolo 23 del decreto attuativo si pone l’obiettivo di modificare l’articolo 4 generato in seno allo Statuto dei Lavoratori nel 1970. Tale testo di legge è ad oggi certamente poco allineato rispetto all’evoluzione tecnologica attuata ed in atto.
mobile-payment LE NUOVE REGOLE DEL GARANTE DELLA PRIVACY PER I PAGAMENTI CON SMARTPHONE E TABLET
di Valentina Frediani (N. I_MMXV)
Il Garante privacy ha adottato il provvedimento (doc. web n. 3161560) che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.
Translate »