Con l’affermarsi delle tecnologie ICT dell’ultimo decennio, i dati sono diventati uno degli asset più preziosi per le aziende. Oltre a conservare i dati relativi a processi interni e prodotti, spesso sono affidatarie anche dei nostri dati personali come nome, cognome, indirizzo email e dati della carta di credito, e ci aspettiamo che questi vengano protetti e custoditi in maniera adeguata da accessi non autorizzati.
Gli incidenti avvenuti negli ultimi anni, tuttavia, ci dimostrano come controllare gli accessi a un network, e quindi ai dati in esso contenuti, sia estremamente difficile, a causa della complementarietà tra fattore umano e fattore tecnologico necessaria al funzionamento della rete stessa. Attacchi come quello sferrato contro il provider di servizi finanziari Equifax, la violazione di un miliardo di account mail di Yahoo! o il furto dei dati degli utenti del sito Ashley Madison sono esempi di un mancato controllo sull’accesso alle informazioni.
La maggior parte degli attacchi riusciti deve il suo successo al ruolo determinante dell’utente o dell’amministratore di sistema, che viene spesso ingannato con pratiche di social engineering che lo portano ad eseguire azioni che non sono necessariamente nel suo interesse, come ad esempio aprire un allegato inviato da un soggetto ritenuto affidabile che in realtà si rivela essere un malware. Altre volte, invece, si tratta di semplice negligenza che porta a dare per scontato che il sistema informatico sia sicuro e non siano necessari continui interventi di aggiornamento.
Legislatori ed enti di vari stati in cui sono avvenuti gli attacchi si sono resi conto della crescente importanza strategica del cyberspace, diventato a tutti gli effetti un dominio al pari di terra, acqua e aria, sia per la sicurezza nazionale sia per tutti i settori dell’economia. Su questa premessa, sono nati i primi framework nazionali di cybersecurity, con l’obiettivo di stabilire uno standard minimo di misure di sicurezza da far rispettare alle aziende per garantire la tutela dei dati personali dei loro clienti e l’integrità delle reti che li contengono. Attualmente, il framework elaborato dal NIST (National Institute of Standards and Technology), agenzia governativa americana che si occupa della gestione delle tecnologie, è considerato il più completo ma anche il più difficile da applicare in relazione ai costi che comporta.
Anche il legislatore europeo ha percepito la necessità di realizzare un framework che sia comune a tutti gli stati dell’Unione, e ha elaborato il General Data Protection Regulation (GDPR). Questo Regolamento, che acquisirà efficacia il 25 maggio 2018, prescrive determinati obblighi per coloro che trattano i dati personali di cittadini residenti nella UE e prevede, in caso di trasgressione, una multa che va, a seconda dei casi, fino ai 20 milioni di euro o al 4% del fatturato annuale. Una volta acquisita la sua efficacia, il regolamento andrà a sostituire le singole legislazioni nazionali: in particolare, in Italia andrà ad a abrogare il Codice per la protezione dei dati personali (D.Lgs. 196/2003). Ma quali sono le principali prescrizioni del Regolamento?
Gli utenti sperimenteranno un cambiamento nelle condizioni da accettare ogni qual volta autorizza un soggetto terzo al trattamento dei propri dati personali. Nello specifico, il testo dei termini che vengono accettati contestualmente all’invio dovrà essere il più chiaro e lineare possibile, imponendo quindi di evitare documenti lunghi decine di pagine con termini di difficile comprensione.
L’utente godrà inoltre dei seguenti diritti:
– diritto alla portabilità dei dati, che consiste nel diritto di poter richiedere il trasferimento dei dati a un altro soggetto senza la necessaria approvazione dell’attuale titolare del trattamento;
– diritto alla cancellazione, che si sostituisce al più ampio concetto di diritto all’oblio. L’utente avrà diritto di richiedere la cancellazione dei propri dati qualora un suo diritto o un suo interesse prevalga su quello del titolare del trattamento;
– diritto di accesso, che consente all’utente di richiedere in ogni momento se e con quale finalità i suoi dati vengono processati.
Dal punto di vista di chi tratta i dati, invece, i cambiamenti saranno consistenti:
– sarà obbligatorio, per i titolari del trattamento, notificare le violazioni di sicurezza alle autorità entro e non oltre 72 ore dalla scoperta dell’intrusione. Sarà inoltre obbligatorio informare tempestivamente anche gli utenti relativamente alla compromissione dei loro dati personali;
– i processi aziendali dovranno essere rivisti in ottica di privacy-by-design: si tratta di disegnare ciascuna fase di un processo tenendo conto della riservatezza e della protezione dei dati personali che vengono trattati durante lo svolgimento dello stesso;
– creazione della figura del Data Protection Officer (DPO). La funzione del DPO sarà assistere il titolare del trattamento dei dati (ad esempio un social network) per assicurarsi che vegano rispettate tutte le norme previste dal Regolamento. Questa figura dovrà coniugare le competenze informatiche con quelle di information security e conoscenza di leggi e regolamenti.
Non mancano, naturalmente, alcune controversie su un insieme di norme così corposo, che modificherà in maniera sostanziale i processi di una moltitudine di aziende in molteplici settori.
Anche se il Regolamento è stato pensato prevalentemente per i social network e i provider di servizi cloud, andrà di fatto a condizionare anche le realtà che utilizzano i dati per le sole finalità di marketing: sarà quindi illegale, per esempio, aggiungere l’indirizzo email di un cliente a una newsletter senza il suo preventivo consenso. Un altro motivo di critica è la difficoltà di reperire figure che possano ricoprire la carica di Data Protection Officer, le quali diventeranno sicuramente molto richieste negli anni a venire. È bene ricordare che, come affermato dal Garante per la protezione dei dati personali, ricoprire la carica di DPO non richiede il conseguimento di una certificazione, ma sono necessarie solide competenze ed esperienze.
Per coloro che stanno ancora svolgendo gli studi universitari e aspirano a diventare parte di un team di Data Protection, entrare in una Junior Enterprise può costituire un buon punto di partenza: le competenze trasversali che consente di sviluppare un’esperienza di questo tipo, soprattutto in termini di conoscenza dei processi aziendali e project management, potrà successivamente essere integrata con le skill tecniche necessarie per ricoprire questo ruolo.
Andrea Zanchini
International Manager
JECatt – Junior Enterprise Cattolica