Cybersecurity e GDPR: la responsabilizzazione dei titolari del trattamento dei dati

Il GDPR (General Data Protection Regulation) non è una nuova ed ennesima (oseremmo dire) normativa sulla protezione dei dati dell’UE, bensì un’evoluzione ed uniformazione europea di varie regole esistenti dei singoli stati basata sui solidi principi di protezione delle persone fisiche con riguardo al trattamento dei dati.
In pratica è stata rafforzata la regolamentazione sulla privacy e la sicurezza dei dati vista l’esponenziale crescita di archiviazione dei dati personali a servizi cloud e le violazioni sono continue. I dati ormai rappresentano un nuovo tesoro digitale, soggetti a furti e commercializzazione nel "dark web" e moneta importante per i cybercriminali e pertanto il livello di sicurezza va mantenuto costante ed elevato.

La relazione fra Cybersecurity e GDPR risiede nella modalità con le quali i titolari e i responsabili del trattamento devono tutelare i dati mediante l’introduzione e il mantenimento di misure di Data Protection nei sistemi informatici che li elabora, ai sensi dell’art. 32 del Regolamento.

Secondo l'intervento al webinar dello scorso 7 giugno 2022, Dario Brocato - Cyber Security Consultant e Ethical Hacker - del team INRIMA è proprio qui che avviene l’incontro tra Cybersecurity e GDPR, dove si parla in modo specifico della sicurezza del trattamento dei dati, richiedendo di prevedere, tra le altre, le seguenti misure:

• pseudonimizzazione e cifratura dei dati personali;
• capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
• capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
• procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Per gli addetti ai lavori nell’ambito dei sistemi di gestione e per chi ha un po' di familiarità con la ISO 27001, l’articolo 32 del Regolamento risulta chiaramente riconducibile alla norma che è uno standard internazionale la quale mira a salvaguardare le informazioni aziendali e/o i dati che l’organizzazione stessa definisce importanti.

E’ evidente che l’obiettivo di preservare riservatezza, integrità, disponibilità, oltre alla resilienza, dei sistemi e servizi è centrale all’interno dello standard ISO 27001, così come il concetto di Disaster Recovery, il quale viene enunciato nel Regolamento come “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico” e infine l’analisi dei rischi, la quale viene definita come “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”
Di conseguenza le esigenze di protezione dati e di sicurezza informatica devono essere in un costante equilibrio per assicurare la corretta gestione del “dato” da parte dei Titolari del trattamento.