In un mondo del lavoro sempre più digitalizzato anche i dati, i loro trattamenti e la relativa conservazione vivono e si realizzano su pc o in internet piuttosto che su carta. Questo passaggio interessa anche i dati personali che devono essere adeguatamente protetti attraverso misure di sicurezza informatica, o cybersecurity. Non è più possibile pensare di adeguarsi alla normativa privacy senza preoccuparsi delle scelte di sicurezza informatica: DPO o consulente privacy devono interfacciarsi con il fornitore aziendale dei servizi IT.
Esempi di sicurezza informatica
La gestione delle password è una misura di cybersecurity: le password sono la chiave di accesso ai dispositivi su cui vengono salvati i dati oppure ad applicazioni (app) e aree riservate in cui sono salvati dati personali. La definizione di una procedura aziendale di generazione, conservazione e aggiornamento delle password è uno dei primi elementi di sicurezza informatica che è opportuno verificare nell’ottica di garantire la protezione dei dati personali, oltre che di ogni altro dato salvato e utilizzato dall’azienda.
La protezione antivirus del PC è un’altra comune misura di sicurezza informatica. Si dovrebbe parlare in termini più generale di protezione anti-malware, cioè contro qualunque software nocivo sviluppato per prende di mira computer o reti. Ne esistono di diversi tipi (virus, ransomware, adware, spyware, worm e trojan), che si differenziano per la modalità di funzionamento, ma la logica è sempre la stessa: rendere inutilizzabili i dati o il dispositivo. Per questo motivo tra le misure di sicurezza in ottica privacy si deve comprendere anche la scelta e l’aggiornamento della protezione anti-malware della rete informatica.
L’evoluzione tecnologica digitale porta con sé anche forme sempre nuove di minacce ai sistemi e ai dati: phising, smishing, vishing e juice jacking sono i nomi di alcune di queste “trappole“. Conoscerne il nome, il significato e, quindi, la dinamica significa ridurre il rischio di farsi prendere all’amo. Anche la formazione rispetto ai comportamenti corretti per evitare di cadere vittima di attacchi informatici è una misura di sicurezza informatica, e può (dovrebbe) essere integrata in quella in materia di trattamento dei dati personali per ogni addetto al trattamento.
Quali misure di cybersecurity adottare?
Non esiste una lista esaustiva di misure che il tecnico informatico, per conto del titolare del trattamento, deve mettere in atto per garantire la conformità dell’assetto di cybersecurity rispetto al GPDR: il Regolamento richiede che le misure di sicurezza siano determinate dal titolare del trattamento in funzione della specificità dei trattamenti che esegue, avendo come obiettivo quello di garantire un livello di sicurezza adeguato rispetto all’entità del rischio connesso ai trattamenti stessi. Per questo è essenziale un confronto tra DPO o consulente privacy e fornitore aziendale dei servizi IT.