La General Data Protection Regulation (GDPR) è entrata in vigore lo scorso 25 maggio. Il nome tradisce, in parte, una distorsione. La “protezione dei datitende a sottolineare il tema della privacy, mettendone in secondo piano un altro, ad esso legato in modo inscindibile: la cybersecurity. Il nuovo regolamento, infatti, impone un nuovo approccio alla sicurezza informatica.     

 
La Cybersecurity nel GDPR
 
L'elemento che dovrebbe avere più effetti strutturali è contenuto nell'articolo 25 del GDPR. Si afferma infatti che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate” non solo “all'atto del trattamento stesso” ma anche “al momento di determinare i mezzi del trattamento”. Queste frasi corrispondo all'introduzione della cosiddetta “privacy by design”. Tradotto: la protezione dei dati non è un'armatura da piazzare ex post ma un elemento che fa parte degli asset digitali dell'azienda sin dalla loro nascita. E questo implica degli accorgimenti tecnici consistenti. Si potrebbe quindi dire che il GDPR non preveda solo il principio di “privacy by design” ma anche di “cybersecurity by design”. Una componente che, con o senza regolamento, è e sarà fondamentale per l'universo digitale.
 

Le misure consigliate

Quanto la cybersicurezza si intrecci con la privacy si nota leggendo l'articolo 32. Il GDPR si limita a suggerire gli accorgimenti da adottare ma non indica misure obbligatorie. Tra le altre, ci sono “cifratura” e “pseudonimizzazione”. Il sistema deve avere “la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Serve quindi parlare di privacy e cybersicurezza in tutte le fasi: progettazione di un sistema sicuro, conservazione dei dati e risposta a un'eventuale breccia informatica. 
 

Maggiore trasparenza

In linea con uno degli obiettivi generali del GDPR (la trasparenza), il regolamento obbliga le aziende a comunicare qualsiasi violazione dei dati entro 72 ore. È un tempo molto breve, che fino a ora non è stato quasi mai rispettato in caso di massicce falle (svelate a volte dopo mesi). L'imposizione di questo limite è supportata da sanzioni corpose (fino al 4% del fatturato annuo), che variano anche a seconda della disponibilità delle imprese a collaborare in caso di eventuali violazioni. Oltre all'obbligo, quindi, le aziende dovrebbero essere incentivate a svelare il problema interno alle autorità competenti. E devono quindi avere una struttura in grado di rispondere in fretta, anche perché le informazioni richieste dalla normativa sono piuttosto dettagliate. La notifica della breccia deve “descrivere la natura della violazione” e “ove possibile le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione”. Serve anche “descrivere le probabili conseguenze della violazione dei dati personali” e “le misure adottate o di cui si propone l'adozione”.


Leggi anche:

Come il GDPR impatta sulle scelte strategiche di investitori e private banker