Per affrontare le insidie della digitalizzazione, il Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il Presidente della Fondazione Leonardo-Civiltà delle Macchine, Luciano Violante, hanno sottoscritto un protocollo d’intenti ed avviato una reciproca collaborazione istituzionale.
L’Autorità e la Fondazione, infatti, sono chiamate ad affrontare, pur sotto profili diversi, le sfide connesse all’accelerazione dei processi di digitalizzazione e a stimolare il dibattito sugli effetti e i potenziali benefici che queste importanti innovazioni comportano per la società civile.
Nell'articolo
Obiettivi del Protocollo d’Intenti
La cooperazione è volta alla realizzazione di attività di interesse comune relative in particolare alle implicazioni giuridiche delle nuove tecnologie e al loro impatto sulla protezione dei dati personali.
Laboratorio sulla transizione digitale nel Protocollo d’intenti
Tra le attività e i progetti di comune interesse che saranno realizzati va sottolineata, in primo luogo, la collaborazione del Garante ad un “Laboratorio sulla transizione digitale”, che la Fondazione sta costituendo. In tale ambito è prevista l’organizzazione di attività di analisi, studio, approfondimenti sui temi inerenti il digitale e l’intelligenza artificiale.
Protocollo d’Intenti: informazione e formazione
Con il protocollo, che ha la durata di due anni, l’Autorità e la Fondazione si impegnano anche a organizzare incontri periodici su materie di interesse comune e a promuovere campagne di informazione e attività formative.
Le modalità di svolgimento delle attività saranno definite di volta in volta con specifici accordi tra le parti.
La minaccia cibernetica
In particolare negli ultimi tempi si è assistito ad una rapida evoluzione della minaccia che possiamo definire “cibernetica”; questa è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.
I pericoli legati alla minaccia cibernetica
I pericoli legati a questo genere di minaccia sono particolarmente gravi per due ordini di motivi:
– Il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati.
– Il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.
La combinazione di questi due fattori fa sì che, a prescindere dalle ormai abrogate misure minime di sicurezza (antivirus, firewall, difesa perimetrale, ecc.), bisogna fare particolare attenzione alle attività degli stessi utenti; attività che devono rimanere sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.
Le misure preventive
Naturalmente le misure preventive, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione. E’ necessario infatti che siano in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.
La sicurezza del trattamento nel GDPR
Nel GDPR un chiaro riferimento alle misure di sicurezza già si trova nell’art. 24; qui si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).
Mentre, più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento.
Misure tecniche ed organizzative
Tenuto conto, quindi:
– dello stato dell’arte e dei costi di attuazione
– della natura, del campo di applicazione, del contesto e delle finalità del trattamento
– del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Pseudonimizzazione
In particolare, quindi, si pone l’accento sulla pseudonimizzazione intesa come un particolare trattamento dei dati personali; in questo modo i dati personali non possono più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive; a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Resilienza dei sistemi informatici
Inoltre per la prima volta si parla di resilienza dei sistemi informatici intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.
Disaster Recovery
Notevole rilevanza viene attribuita dal legislatore comunitario anche al disaster recovery, per cui diventa fondamentale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi di inoperatività del sistema EDP (informatico) e delle misure da adottare per ridurli; nonché la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.
Per saperne di più consulta anche:
Il Responsabile della Protezione Dati in ambito pubblico: chiarimenti del Garante
Le nuove disposizioni nazionali sulla protezione dei dati personali
di Michele Iaselli
EPC Editore
Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore