Sicurezza informatica nel rispetto della protezione dei dati

I benefici, i rischi e le conseguenze indirette del processo di Digital Transformation

In questo particolare momento storico stiamo assistendo a una profonda spinta verso la trasformazione digitale, ulteriormente accelerata dalla pandemia. Questa fase ha imposto l’adozione di forme di organizzazione del lavoro perlopiù inedite, portando le imprese ad adottare nuove tecnologie finalizzate a incrementare la produttività e a migliorare le performance aziendali, a tutto vantaggio della competitività.

Come già noto, il cosiddetto processo di Digital Transformation introduce anche una serie di rischi in termini di sicurezza informatica, in quanto il patrimonio informativo aziendale viene continuamente esposto ad attacchi sempre più sofisticati e insidiosi. Se da un lato possono risultare evidenti i benefici dei processi offerti dalle nuove tecnologie, dall’altro si tende erroneamente a trascurare, o addirittura a dimenticare, quali possono essere le conseguenze indirette della Digital Transformation.

Per quanto riguarda il tema qui oggetto di approfondimento, bisogna infatti considerare che le stesse tecnologie utilizzate per rafforzare il livello di sicurezza possono abilitare contemporaneamente l’elaborazione di una elevatissima quantità di informazioni, anche in tempo reale. Ciò si traduce in un sensibile aumento delle attività di trattamento di dati personali degli interessati (dipendenti, clienti, utenti del sito web, etc.), con tutte le conseguenze che ne derivano in termini di compliance alla normativa in materia di Data Protection (GDPR, Codice della Privacy, Provvedimenti del Garante, etc.).

Si comprende quindi come non sia più sufficiente concentrare l’attenzione soltanto sugli indiscussi vantaggi in termini di efficienza e sicurezza. Per implementare correttamente queste innovazioni è necessario al contempo garantire, ed essere capaci di dimostrare, la conformità alla normativa in materia di protezione dei dati personali, anche al fine di scongiurare potenziali danni patrimoniali e/o di immagine.

Abbiamo accennato al fatto che le nuove tecnologie comportano un aumento esponenziale delle capacità di trattamento, che possono potenzialmente sfociare in nuove forme di monitoraggio occulto degli individui. Inoltre, la separazione tra ambito domestico e ambito lavorativo si sta sempre più sfumando. Le cause sono la maggiore diffusione dello Smart Working e dell’implementazione di politiche di BYOD (Bring Your Own Device), ma anche l’utilizzo sempre più comune di sistemi di geolocalizzazione, di Mobile Device Management e di Data Loss Prevention. 

Tutto questo può concretizzarsi in un illegittimo controllo a distanza delle attività dei lavoratori, sanzionato penalmente.

Le implicazioni concrete

Facciamo un esempio pratico, al fine di comprendere meglio quali possono essere le implicazioni concrete. Le soluzioni di Mobile Device Management (MDM) consentono all’organizzazione Titolare del trattamento di avere un controllo strutturato sui dispositivi mobile affidati in uso ai lavoratori. Permettono infatti, a titolo esemplificativo, di scongiurare o quantomeno limitare le conseguenze negative in caso di smarrimento del device e di distribuire agevolmente eventuali aggiornamenti di sicurezza del software. 

Si tratta quindi di una misura di sicurezza ex art. 32 GDPR che contribuisce in maniera determinante alla security del trattamento dei dati personali effettuato dal Titolare, e che pertanto riduce sensibilmente il rischio per i diritti e le libertà degli interessati, semplificando inoltre gli adempimenti in caso di data breach. Bisogna però ricordare che le soluzioni di MDM molto spesso integrano nativamente nelle loro funzionalità la possibilità di geolocalizzare il dispositivo e di conseguenza l’interessato. 

Se immaginiamo che il Titolare consenta l’utilizzo del device non soltanto per finalità lavorative oppure, casistica non infrequente, che il dispositivo sia addirittura di proprietà dell’interessato, il rischio di monitoraggio illegittimo del dipendente è concreto. Ciò dimostra come sia fondamentale, prima di introdurre una tecnologia di questo tipo, effettuare un’analisi approfondita del contesto, che tenga conto delle esigenze di riservatezza degli interessati e che risulti in una configurazione della soluzione in ottica di privacy by design e by default. 

Oltre naturalmente a predisporre gli oramai noti adempimenti richiesti dal GDPR quali, ad esempio, aggiornamento del Registro dei trattamenti, contrattualizzazione dei Responsabili esterni, informative, analisi dei rischi ed eventuale Valutazione d’Impatto sulla protezione dei dati personali (DPIA), ma anche la redazione di policy specifiche sul corretto utilizzo degli strumenti aziendali.

La sfida, pertanto, consiste nel garantire un adeguato livello di protezione dei dati, personali e non, senza porre ostacoli all’introduzione di nuove tecnologie in azienda. Occorre quindi coniugare in modo ottimale le esigenze organizzative e di business delle imprese con il tema della compliance, operando un attento bilanciamento con i diritti relativi alla protezione della riservatezza degli individui e dei loro dati, per non incorrere in sanzioni e scongiurare il rischio di inutilizzabilità dei dati raccolti.

Da quanto detto finora risulta perciò evidente che per le imprese assume oggi un’importanza strategica affidarsi a partner dotati di competenze integrate, legali e di Cybersecurity, capaci di guidare e accompagnare da vicino l’organizzazione nel percorso di trasformazione e di governance dei dati.

Cybersecurity e Data Protection: l’approccio di Sanmarco Informatica

Per indirizzare al meglio il tema della Data Protection e della Security, in Sanmarco Informatica abbiamo costituito un team dove operano sia consulenti legali specializzati sulla Privacy, sia consulenti esperti in materia di Cybersecurity. L’approccio è quindi multidisciplinare, pienamente aderente allo spirito del Regolamento UE, che integra tutte le diverse competenze necessarie in un unico modello di riferimento.

Le imprese vengono così assistite dall’adeguamento al GDPR, alla successiva regolare “manutenzione” del sistema di gestione della privacy. Le aree di intervento spaziano dalla formazione del personale, fino agli adempimenti in materia di videosorveglianza e geolocalizzazione, e dalla fase di scelta della soluzione tecnologica più idonea, fino alla sua configurazione e alla definizione di politiche di data protection personalizzate, arrivando all’implementazione di misure tecniche e organizzative adeguate. 

Con SMITech, la Business Unit di Sanmarco Informatica che si occupa di Cybersecurity e Data Protection, siamo in grado di fornire la consulenza necessaria per aiutare le aziende nel governare il cambiamento e per permettere di sfruttare appieno le potenzialità offerte dalle nuove tecnologie.