La gestione della protezione dei dati personali, in un momento di emergenza come quello attuale, è senza dubbio una tematica piuttosto complessa, tenendo in considerazione la proliferazione normativa in atto da circa tre mesi. In tal senso il Garante Privacy ha fatto (e sta continuando a fare) un lavoro notevole cercando di dare indicazioni sia da un punto di vista di gestione dell’emergenza, con conseguenti modalità di poterla affrontare nelle sue varie fasi, sia da un punto di vista di gestione “ordinaria”, anche se fortemente condizionata dallo scenario operativo di questo periodo.

Ragionando in un’ottica più ampia di emergenza, lo scenario attuale, ritenuto poco probabile in termini di evento da potersi concretizzare nell’ambito delle analisi dei rischi, ha fatto emergere delle carenze organizzative e tecniche che solo con misure di natura eccezionale sono in corso di superamento. È, chiaramente, stato fatto in pochissimo tempo un salto generazionale da un punto di vista tecnologico, con conseguente attivazione di trattamenti che fino a pochi mesi fa sembravano quasi fantascienza, soprattutto nel contesto della Pubblica Amministrazione.

Potremmo analizzare la problematica sotto vari punti di vista: dallo smart-working alla gestione dei dati relativi ai tamponi, dagli ingressi nelle strutture organizzative (aziendali o di altra natura) alla gestione della sicurezza informatica.

Lo “smart-working” o “lavoro agile”, ha richiesto più di un adattamento, sia da un punto di vista di approccio al lavoro da parte di dipendenti e collaboratori, che a livello di regolamentazione aziendale: tale aspetto è diventato fondamentale tenendo in considerazione che, in condizioni di emergenza, nessuna organizzazione era pronta a fornire dispositivi aziendali ai propri lavoratori con conseguente necessità di ricorso a strumenti “privati”; questo ha richiesto una nuova regolamentazione che finora non era stata sviluppata in termini così approfonditi e che ha visto la necessità di opportune valutazioni in termini di sicurezza (e di cybersicurezza).

Prendendo a riferimento il punto della sicurezza informatica, in questi ultimi mesi c’è stata una escalation di richieste di sistemi di web-conferencing e di sistemi in cloud, oltre che di notevole stress per le strutture di rete aziendali che, anche se hanno visto moltiplicarsi a dismisura collegamenti VPN – Virtual Private Network, hanno consentito alla maggior parte dei lavoratori (in molti casi a tutti) di poter lavorare da casa come se nulla (o quasi) fosse accaduto. Questo ha, inevitabilmente, aumentato in maniera esponenziale il rischio che potremmo definire “cyber”, portando in evidenza le varie carenze che, fino a poco tempo fa, con un approccio lavorativo consolidato da anni, nessuno aveva mai percepito, soprattutto considerando le quantità di soggetti collegati (un test per le piattaforme decisamente probante…). Da qui sono emerse una serie di problematiche che hanno portato alla luce pregi e difetti dei vari software disponibili, con conseguente selezione del mercato, che ha premiato (e sta premiando) le aziende che hanno puntato maggiormente sulla sicurezza.

La delicatezza della problematica della gestione dei tamponi e degli ingressi nelle strutture organizzative (aziende, enti pubblici, negozi, supermercati) ha imposto delle specifiche regolamentazioni che hanno subìto, nel corso delle settimane, varie modifiche ed approfondimenti: utilissimo è, in questo senso, il riepilogo fatto dal Garante (aggiornato settimanalmente) delle disposizioni normative che impattano sulla protezione dei dati personali (Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali). Ulteriore strumento è costituito dalle FAQ rese disponibili per i vari settori, dal sanitario a quello relativo al contesto organizzativo, da quello scolastico a quello della gestione delle ricerche mediche e sperimentazioni cliniche.

Da non dimenticare, in questo periodo di emergenza, le problematiche relative alle violazioni di dati personali: ove anche ci siano alcune semplificazioni in termini di adempimenti, come, ad esempio, per quel che riguarda il trattamento di dati personali, la comunicazione e le informative da parte dei soggetti pubblici coinvolti nell’emergenza sanitaria (ad esempio nell’art. 17 bis nel Decreto Legge “Cura Italia”), sicuramente non ci sono deroghe alle tematiche di sicurezza (ad esempio il problema del data breach dell’INPS del 1 aprile).

Quello che i consulenti della Infoteam dicono ormai da molto tempo è che non si può ragionare “a compartimenti stagni” ma le tematiche di sicurezza informatica (una definizione “generale” ma che comprende sicuramente tutta la tematica della cosiddetta cybersecurity) sono strettamente connesse a quelle di protezione dei dati, di trattamento, con conseguente necessità di gestione univoca dell’approccio.

In tal senso, l’applicativo INRIMA – Information Risk Management, nato da un’idea avuta ormai più di un decennio fa e man mano evolutosi (ed in continua evoluzione) in base alle esigenze normative, organizzative e di sicurezza, costituisce una sorta di “comun denominatore” della tematica, con le sue funzionalità che consentono di avere una visione integrata dell’intero spettro di problematiche connesse con la protezione dei dati, delle infrastrutture, dell’organizzazione e della tutela giuridica aziendale.

Area Sicurezza Informatica – Vincenzo Ithao De Carlo