IL DIBATTITO

Privacy e cyber security: approccio multidisciplinare al principio di accountability

Sono ancora tante le realtà che credono di aver raggiunto una compliance adeguata al GDPR facendo il minimo indispensabile, senza comprendere che in realtà si tratta di un percorso da intraprendere usando un approccio risk based e multidisciplinare in ambito privacy e cyber security nel pieno rispetto del principio di accountability

19 Mar 2020
G
Matteo Gianniello

Consulente privacy e cyber security


Così come in campo medico il supporto di diversi professionisti aiuta ad affrontare le patologie in modo più efficace ed efficiente e a garantire una maggiore probabilità di guarigione, anche in ambito privacy e cyber security l’approccio multidisciplinare è utile a raggiungere la piena conformità alla normativa vigente.

Un concetto, quello dell’approccio multidisciplinare alla data protection, che troviamo anche nel testo del GDPR.

Privacy e cyber security: il principio di accountability

Il concetto di accountability è una delle tante novità introdotte dal GDPR, ma è senza dubbio anche quella che provoca più difficoltà d’attuazione. Adottare un comportamento responsabile da parte del titolare dei trattamenti significa analizzare, conoscere ed attuare misure di sicurezza informatica idonee ad affrontare i potenziali rischi ai quali si è esposti.

Detto questo, quante sono davvero le realtà che adottano un comportamento in linea con tale principio?

Secondo una ricerca (Information Security & Privacy della School of Management del Politecnico di Milano), solo il 23% delle aziende presenti nella nostra penisola risulta conforme alle linee guida del Regolamento europeo sulla protezione dei dati. Questo significa che poco più di due realtà su dieci possono dimostrare di proteggere i dati trattati, garantendo l’esercizio dei diritti fondamentali dell’interessato.

Nonostante il primato europeo per sanzioni comminate dalla nostra Autorità Garante e l’aumento dei danni riconducibili al cyber crime, in Italia siamo ancora lontani dalla totale comprensione del Regolamento.

Anche se vige questo primato non proprio piacevole, si possono riscontrare ancora realtà che credono di aver raggiunto una compliance adeguata facendo il minimo indispensabile. Può capitare, a chi non tratta la materia e non segue l’evoluzione inerente queste tematiche, di pensare che tutto ciò possa essere solamente un mero adempimento burocratico; anche quando si riesce a far capire l’importanza di questi argomenti, in molti scelgono comunque di intraprendere il percorso che comporta il minor dispendio di energie, convinti di ottenere un risultato ottimale con il minimo sforzo.

Purtroppo, tutto ciò è in totale contrapposizione con le prescrizioni riportate nel testo del Regolamento, perché non stiamo parlando di un prodotto/servizio una tantum, ma di un percorso intrapreso utilizzando un approccio risk based, cioè basato sui rischi ai quali effettivamente è soggetta l’azienda. Dopo un assessment iniziale occorre implementare, se non addirittura creare ex-novo misure di sicurezza informatica idonee.

Privacy e cyber security: vantaggi della multidisciplinarietà

L’imprenditore potrebbe pensare di non ricavare vantaggi concreti da tutto ciò, ma a confermare quanto detto è uno studio del Data Privacy Benchmark Study di Cisco, che stima un ritorno dell’investimento relativo alle misure di cyber security adottate e privacy pari al 240%.

I vantaggi sono molteplici, vanno dal generare una maggiore fiducia da parte dei clienti nei confronti dell’azienda ad una maggiore ottimizzazione dei processi, fino ad arrivare ad una esposizione minore ai rischi informatici.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Doveroso ricordare che i danni riconducibili al cyber crime, secondo il rapporto Clusit del 2018, ammontano a dieci miliardi di euro, e infatti il timore di essere vittima di una violazione informatica ha raggiunto la prima posizione della classifica stilata dall’ Allianz Risk Barometer che misura ogni anno i timori più sentiti da parte delle imprese.

Sta diventando sempre più importante, quindi, adottare un approccio multidisciplinare verso queste materie, ma cosa vuol dire in concreto? Per rispondere a questa domanda possiamo consultare l’articolo 35 del GDPR che parla di DPIA (Data Protection Impact Assessment) ovvero della valutazione dell’impatto di un determinato trattamento, come ad esempio la videosorveglianza adottata per motivi di sicurezza.

L’Autorità Garante suggerisce, inoltre, di condurre questa analisi in via preventiva, coinvolgendo diverse figure in fase di assessment. I professionisti coinvolti possono dare il loro contributo e formare un quadro giuridico-informatico completo, dando la possibilità al titolare del trattamento di scegliere nel modo più corretto.

Un approccio di questo tipo aiuta a far emergere la possibilità di optare per soluzioni meno impattanti, ma comunque efficaci nel raggiungere l’obiettivo prefissato. Ecco cosa intendiamo per “multidisciplinare”, da questo ne deriva una condotta conforme con il concetto di accountability.

Sono rari gli approcci di questo tipo, soprattutto nelle PMI italiane. La scarsa adozione di un comportamento simile potremmo ricondurla a tre principali motivi:

  1. la poca cultura sul tema privacy;
  2. la paura di un dispendio di risorse economiche elevato;
  3. un’opera d’informazione spesso basata solamente sul rischio di tipo legale (il timore delle sanzioni) anziché su quello informatico.

Conclusioni

Come in tutte le cose possiamo vedere il lato positivo anche in questa situazione non proprio soddisfacente. Nel 2020 sembra essersi invertito questo trend, il mercato della sicurezza informatica segna una crescita del 11%, molto probabilmente perché a spingere il comparto ci sono digitalizzazione e interconnessione sempre maggiori.

La strada è stata tracciata da un punto di vista normativo e presto nessuna realtà potrà fare a meno di affrontare i discorsi relativi a queste tematiche. Tutti i professionisti del settore privacy e cyber security devono aumentare gli sforzi perché c’è ancora molto da fare, soprattutto in campo informativo.

Aumentare le azioni di sensibilizzazione, far comprendere il motivo reale del perché è meglio adottare un approccio multidisciplinare basato sui rischi, sono solo alcuni esempi.

Anche da un punto di vista istituzionale, le autorità competenti in materia devono cercare di avere un ruolo da protagonista sul tavolo di gioco. In ballo non c’è solo la sicurezza delle nostre aziende, ma anche il rischio per esse di perdere competitività a livello europeo e mondiale perché ritenute poco sicure dai partner commerciali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5