la “minaccia cibernetica” a seguito dell’avvento del GDPR

Il tema della sicurezza informatica, in seguito all’aumento degli attacchi e degli incidenti informatici sorti dopo l’entrata in vigore del Regolamento 679/2016, è divenuto maggiormente protagonista nella nostra società. In tale scenario diviene importante effettuare un’analisi sulle vulnerabilità del sistema digitale, in quanto la loro eliminazione è uno dei metodi migliori di prevenzione e tale analisi permette di rilevare più facilmente eventuali alterazioni e verificare se vi sono attacchi in corso.

Per cercare di prevenire le violazioni al GDPR, il titolare o il responsabile del trattamento deve esaminare anche il rischio informatico, ossia il rischio dei danni economici e i danni inerenti alla

219 _{Cfr. https://legaldesk.it/blog/gdpr-intelligenza-artificiale.} 220 _{Cfr. https://legaldesk.it/blog/gdpr-intelligenza-artificiale.}

108

reputazione. Devono naturalmente essere poste in essere misure volte a tutelare la sicurezza e la riservatezza, ponendo maggiore attenzione sulla pseudonimizzazione, che come già trattata in precedenza, è quello strumento volto a proteggere i dati personali e sensibili delle persone fisiche che permette di trattare i loro dati in un modo che non porta ad identificare tali persone senza l’uso di informazioni aggiuntive. Tali misure, oltre a garantire la continua riservatezza e integrità, prendono in considerazione anche la resilienza, con la quale si intende quella capacità di un sistema di saper resistere agli attacchi informatici. Di non meno importanza è infine anche la necessità di predisporre un piano in grado di somministrare servizi per l’analisi dei rischi e per individuare misure volte a reprimerli221_.

3.5.3 Reagire a tali minacce con la “Security awareness”: una priorità per le aziende di ogni settore e dimensione

L’espressione “Security awareness” fa riferimento all’azione di sensibilizzazione diretta ad accrescere il livello di sicurezza delle informazioni e la protezione dei dati aziendali. Come sappiamo, in uno scenario ove la digitalizzazione sta divenendo sempre di più protagonista, ove aumenta la velocità con la quale i dati viaggiano e, di conseguenza, ove accrescono anche le minacce sopra indicate, è necessario trovare una soluzione.

Quali sono quindi gli strumenti che possono essere posti in essere per limitare eventuali attacchi? Accertato che non esista una soluzione capace di apportare un’appropriata tutela a riguardo, il miglior strumento per cercare di portare migliori benefici, sembra essere quello di porre l’attenzione sull’utente. La miglior soluzione per cercare di

221 _{Cfr. https://www.altalex.com/documents/news/2017/12/07/il-concetto-di-}

109

reagire e limitare il più possibile tali attacchi, sembra essere quindi quella di mettere l’utente nella condizione di accrescere le sue competenze e di conoscere i metodi e le tecniche necessarie a prevenire tali incidenti in modo da poter acquisire più maturità circa la protezione dei dati personali e aziendali. Tali programmi di “Security awareness” hanno quindi lo scopo di incentivare le persone a prendere seriamente la sicurezza dei dati, facendo loro presente di come ciò costituisca, in primis, un loro interesse.

Un vero e proprio programma di sensibilizzazione e formazione deve interessare l’intero personale e quindi non solamente i dipendenti, ma anche e soprattutto i dirigenti e i manager. Proprio quest’ultimi infatti hanno la possibilità di disporre di dispositivi ricchi di informazioni riservate, come tablet e smartphone, che essendo di tipo mobile hanno anche più probabilità di essere soggetti ad intrusione e furti. E da dire è anche che tali figure, essendo a livelli maggiori, sono anche più soggetti a eventuali attacchi. Tali dirigenti e manager dovranno fare da esempio agli altri, in quanto, nonostante debbano fare in modo che ciascun dipendente sia formato e preparato correttamente, tali requisiti dovranno essere acquisiti anche da essi stessi222_.

A questo punto resta da chiedersi in che modo possa avviarsi tale programma di sensibilizzazione. Sicuramente vi sono dei professionisti interni specializzati nella sicurezza informatica o dei formatori esterni, in grado di poter fare formazione in aula, così come potranno essere poste in essere delle soluzioni del tipo e-learning, ma tali metodi non saranno esaustivi dal momento che non riusciranno a coinvolgere con continuità e con la giusta attenzione tutto il personale. Così, un’alternativa a tali metodi, può essere costituita da newsletter aziendali o da intranet223 _{che spesso utilizzano vignette o filmati di breve durata} che evidenziano i comportamenti che favoriscono gli attacchi e che

222 _{Cfr. https://www.ettoreguarnaccia.com/archives/3736.} 223 _{Sistema di informazioni e servizi accessibili dalla rete interna.}

110

quindi debbono essere evitati. Addirittura alcune aziende usano anche di inserire all’interno delle buste paga dei volantini di sensibilizzazione, proprio per cercare di arrivare meglio al personale dato che, in tal modo, viene colto in uno dei migliori momenti di soddisfazione.

Un’altra tecnica che viene utilizzata è quella dell’affissione di poster di sensibilizzazione nei luoghi di comune passaggio, come ad esempio nei corridoi, o quella di inserire immagini a riguardo nel desktop o sulla schermata dei dispositivi. In ogni caso è però fondamentale che i contenuti siano di un elevata qualità in modo che tale sensibilizzazione sia percepita correttamente dal personale224_.

3.6 “O SI INNOVA O SI MUORE”

Ritengo di concludere questo capitolo con l’espressione “o si innova o si muore” proprio per evidenziare come il tema delle digitalizzazione sia così travolgente tanto da far sì che le imprese, per sopravvivere, devono innovarsi. Infatti, l’attuale fase economica è dominata dall’accesso alla conoscenza e dalla continua progettazione di tecnologie e strumenti innovativi.

Il continuo sviluppo informatico, con l’introduzione della strumentazione digitale, che assume sempre più un rilievo fondamentale nello sviluppo del sistema economico, è oramai un elemento imprescindibile al quale le aziende e l’economia in generale dei Paesi più avanzati, non possono esimersi. Il nostro Paese, nell’ambito europeo occupa purtroppo uno degli ultimi posti in tale sviluppo tecnologico,

111

anche se, negli ultimi anni, vi è stato un trend positivo nei budget ITC, con prospettive di maggiore crescita per l’anno corrente225_.

La crescita informatica, in realtà non ha, come da taluni paventato, ridotto i livelli occupazionali in conseguenza della sostituzione del lavoro umano con i moderni strumenti informatici. Difatti, non a caso, i Paesi industrializzati che attraversano una profonda crisi occupazionale, tra i quali l’Italia, sono proprio quelli meno avanzati in tale sviluppo, mentre, al contrario, i Paesi con un maggior tasso di occupazione sono quelli che hanno più sollecitamente recepito e costruito adeguati strumenti tecnologici informatizzati226_{. Appare pertanto evidente che} investire in innovazione migliora la qualità dei servizi e l’economia in generale. Appare altresì evidente che chi non investe in innovazione finisce per subire gli effetti negativi della stessa e ciò anche in considerazione che viviamo in un mondo globalizzato sottoposto ad un processo inarrestabile teso alla ricerca continua di nuovi strumenti che consentono di migliorare la qualità di vita in generale, ma anche la qualità del lavoro227_.

Anche nel settore da me esaminato e segnatamente nell’applicazione della intercorsa normativa sulla privacy valgono i concetti sopra esposti. In particolare, ritengo che le aziende che hanno investito nel “mondo digitale”, pur a fronte di un impegno economico iniziale rilevante, avranno dei vantaggi, anche nel breve periodo, se sapranno governare i processi di cambiamento dell’organizzazione aziendale con grande attenzione, anche sotto l’aspetto culturale, programmando attività di informazione e formazione a tutti i propri dipendenti e generando in loro la capacità di gestire il processo e la consapevolezza che il cambiamento

225 _{Cfr. https://www.economyup.it/innovazione/imprese-e-innovazione-digitale-nel-}

2019-investimenti-in-crescita-in-6-aree-principali-ecco-quali/.

226 _{Cfr. http://www.workmag.it/2017/07/linnovazione-tecnologica-ed-il-digitale/.} 227 _{Cfr. http://www.workmag.it/2017/07/linnovazione-tecnologica-ed-il-digitale/}

112

comporta benefici sia nella qualità dei servizi erogati, sia nella qualità del loro lavoro.

113

CAPITOLO 4

4. CHIARIMENTI INTERPRETATIVI

4.1 PREMESSA

La normativa sulla privacy italiana, a seguito dell’entrata in vigore del GDPR, può essere considerata molto articolata e difficile. Tale complessità è dovuta anche dal fatto che il legislatore italiano ha accolto la possibilità offertagli dal GDPR228 _{di poter inserire deroghe o} specifiche norme in certi ambiti in materia di privacy229_{. Ha così optato} per ricorrere a quelle disposizioni del GDPR che permettono agli Stati Membri di poter conservare o inserire specifiche norme230_{, pur} adeguandosi al nuovo Regolamento231_{. Oltre a questo, la complessità di} tale tema, deriva anche dal fatto che è un argomento divenuto attuativo da poco tempo e a cui la società, nel rapportarsi ad esso, ha avuto un impatto di non facile applicazione. Come infatti ho sottolineato nei capitoli precedenti molte sono state le difficoltà per le imprese e gli Enti di adeguarsi al GDPR ed a circa un anno dalla sua attuazione, diverse realtà attraversano ancora una fase di transizione e assestamento. Essendo anche per me un argomento di studio pressoché nuovo, ma altrettanto molto interessante, ed avendo avuto la possibilità di interloquire con esperti di rilievo nazionale ed europeo in materia di privacy, ho sottoposto loro specifici quesiti su certi argomenti, già

228 _{Differentemente da altri Stati Membri, come ad esempio Francia e Olanda, che}

hanno una legge di adeguamento costituita da meno articoli rispetto a noi e di conseguenza una normativa meno complessa.

229 _{Le cosiddette “clausole di apertura”.}

230 _{Ad esempio, il legislatore italiano, ha previsto sanzioni penali per alcune}

violazioni del GDPR, ha posto in essere norme specifiche per il trattamento dei dati in ambito sanitario, etc.

114

precedentemente trattati, ma per i quali ho avuto delle perplessità e dei dubbi interpretativi.