Rendere la privacy 'pop' tramite percorsi di cybersecurity compliance
Rendere "pop" la cultura della privacy è una missione tanto importante quanto affascinante, come trasformare un concetto apparentemente astratto e lontano in un'icona conosciuta ed amata da tutti.
Proprio come il celebre videogioco Pac-Man degli anni '80, possiamo immaginare il mondo digitale come un gigantesco labirinto, in cui navighiamo quotidianamente alla ricerca di informazioni e condivisione: così come il protagonista del gioco si aggira tra i corridoi, inghiottendo puntini e frutti, noi ci muoviamo tra flussi di dati, spesso inconsapevoli dell'importanza di proteggere le preziose informazioni personali che ci riguardano.
Nella nostra odissea per affrontare le sfide della sicurezza e protezione delle informazioni e dei dati personali, ci confrontiamo con l'arduo compito di scalare la montagna delle conoscenze e della consapevolezza, come Sisifo che spinge instancabilmente la sua pietra verso l'alto. Divulgare la conoscenza sulla tutela dei dati personali alle menti che compongono le aziende e nei confronti dei cittadini è come aprire le porte di un futuro in cui la tecnologia sia al servizio dell'uomo, senza compromettere la libertà, la sicurezza e i diritti fondamentali degli individui.
La cultura della privacy diventa, allora, un faro guida, un'icona "pop" in grado di illuminare le menti delle persone e farle convergere verso un unico, fondamentale obiettivo: la protezione dati personali quale veicolo per garantire diritti e libertà. In questo scenario, la conoscenza e la consapevolezza diventano strumento al fine di plasmare un futuro in cui privacy e progresso tecnologico convivano in perfetta armonia.
Eventi come il Privacy Symposium rappresentano un crocevia fondamentale nella ricerca di un equilibrio tra progresso tecnologico e tutela dei dati personali, fungendo da palcoscenico per il confronto e la condivisione di conoscenze, esperienze e buone pratiche nel campo della protezione dei dati personali. Tale evento, svoltosi di recente – e come ogni anno – nella suggestiva cornice di Venezia, può essere paragonato a un'agorà dei tempi moderni, che unisce sotto il medesimo tetto illustri esperti del settore, professionisti, rappresentanti delle istituzioni e cittadini interessati, dando vita a un dibattito stimolante.
Lezioni dal Privacy Symposium - Il Privacy Symposium, con il suo ricco programma di conferenze, workshop e momenti di networking, si propone di tessere una tela di relazioni e collaborazioni tra i vari attori coinvolti, al fine di generare nuove idee e soluzioni per affrontare le sfide poste dalla tutela dei dati in un contesto in continua evoluzione. In questa cornice, l’evento si propone come punto di riferimento per coloro che vogliono comprendere e approfondire le sfide proposte da una moderna visione della tutela dei dati.
Al Symposium si pongono dunque le basi per la costruzione di una cultura della privacy che unisca passato e presente, tessendo insieme l'eredità dei principi giuridici consolidati e le voci delle tecnologie più giovani, in un sinfonico e corale tributo alla salvaguardia dell'identità e dei diritti fondamentali.
L’Avv. Guido Scorza, membro del Collegio dell’Autorità Garante per la protezione dei dati, ha evidenziato la necessità di promuovere una cultura della protezione dei dati personali, che sia popolare e accattivanti, e aiuti nel creare consapevolezza nelle aziende e nella cittadinanza.
Tale obiettivo non può che estrinsecarsi altresì all'interno delle Organizzazioni, quale elemento cardine per garantire un approccio olistico e completo alla tutela dei dati che, simile a un affresco composto da innumerevoli pennellate, non si limiti a misure tecniche, ma includa anche misure organizzative che contribuiscano a creare cultura della protezione dei dati.
(Nella foto: l'Avv. Guido Scorza, componente del Garante per la protezione dei dati personali, terrà il discorso di apertura del Privacy Day Forum 2023)
In quest'ottica, rendere la privacy "pop" si è rivelato uno dei principali insegnamenti trasmessi dal Symposium, una melodia che risuona nelle menti di tutti coloro che hanno partecipato alla kermesse veneziana.
La cultura aziendale tra compliance e diritti - Una solida cultura della protezione dei dati personali è quindi fondamentale al fine di garantire la necessaria consapevolezza, e diventa mezzo per difendere i confini dei rischi connessi alla raccolta, elaborazione e condivisione dei dati personali. Tale approccio include la conoscenza approfondita delle normative vigenti, quali il GDPR, ma necessita altresì di essere implementato tramite le Organizzazioni, le quali diventano baluardo della diffusione, interna ed esterna, di tale cultura.
Una cultura aziendale incentrata sulla tutela dei dati personali è come un mosaico di inestimabile valore, composto da innumerevoli tessere che rappresentano i singoli dipendenti e le loro responsabilità. Ciascuna tessera contribuisce alla creazione di un quadro completo, dove l'implementazione di politiche, procedure interne e la formazione costante sono i tratti che danno vita all'opera.
In sintesi, è fondamentale iniziare a costruire questa cultura della privacy a partire dalle Organizzazioni; tale obiettivo non può che essere raggiunto implementando modelli organizzativi orientati alla protezione dei dati e delle informazioni, i quali contribuiranno a stabilire una cultura della privacy che sia solida, duratura e resiliente.
Nel perseguire questa visione, le Organizzazioni si trasformano in veri e propri laboratori di idee, sperimentando nuove soluzioni e pratiche per assicurare la protezione dei dati personali. In questo contesto, la cultura della privacy diventa un viaggio avvincente, una navigazione tra le onde del progresso tecnologico e i flutti delle sfide sempre nuove, sempre alla ricerca dell'armonia tra la tutela dell'identità e i diritti fondamentali degli individui.
I mezzi per raggiungere tale scopo sono molteplici e attraversano il concetto di sicurezza del trattamento; quest’ultima è, infatti, una caratteristica fondamentale al fine di salvaguardare i diritti e le libertà dei soggetti interessati nonché prerequisito necessario per il rispetto dei principi disposti dal Regolamento.
In tal senso, in Italia, abbiamo a disposizione un prezioso strumento: l'Allegato B del DPCM 81/2021, che costituisce l’insieme di misure di sicurezza tecniche e organizzative obbligatorie per i soggetti inseriti all’interno del Perimetro di Sicurezza Nazionale Cibernetica.
Perimetro di Sicurezza Nazionale Cibernetica, GDPR e la cultura della protezione dei dati personali - Il Perimetro di Sicurezza Nazionale Cibernetica è una normativa italiana che mira a tutelare le infrastrutture critiche nazionali e a garantire un adeguato livello di protezione dei sistemi informativi di interesse strategico per il Paese. Al fine di implementare tale normativa, è stato emanato il DPCM 81/2021, che costituisce una rielaborazione del framework del Consorzio Interuniversitario Nazionale per l'Informatica (CINI).
Il framework del CINI, basato sul Cybersecurity Framework del National Institute of Standards and Technology (NIST), è un insieme di linee guida e raccomandazioni volte a supportare le organizzazioni nella gestione dei rischi informatici e nella protezione dei dati personali. Esso comprende una serie di controlli di sicurezza, suddivisi in cinque funzioni principali: identificazione, protezione, rilevazione, risposta e ripristino.
All'interno del framework del CINI, e di conseguenza nell'Allegato B del DPCM 81/2021, una particolare rilevanza è attribuita alle misure organizzative. Queste misure sono fondamentali per garantire una gestione efficace dei rischi informatici e per instaurare una cultura della sicurezza all'interno dell'organizzazione. Le misure organizzative includono, tra le altre, la designazione di figure responsabili della gestione dei rischi informatici, la formazione del personale e l'implementazione di politiche e procedure interne che garantiscano la conformità alle normative vigenti e alle best practice del settore.
La presenza di tali misure è indicativa dell'importanza di un approccio olistico alla sicurezza informatica, che non si limiti a soluzioni tecniche, ma tenga conto anche degli aspetti umani e organizzativi. Adottare un framework che integri tali misure organizzative consente di promuovere una cultura della sicurezza informatica all'interno dell'azienda, responsabilizzando i dipendenti e garantendo un livello di protezione adeguato per i dati personali e le infrastrutture critiche. In questo modo le aziende possono contribuire al raggiungimento dell'obiettivo di rendere la protezione dei dati un argomento di interesse comune e di aumentare la consapevolezza sulla rilevanza della protezione dei dati personali.
In conclusione, l'adozione del framework proposto nell'Allegato B del DPCM 81/2021 è un mezzo fondamentale per creare una cultura della sicurezza informatica all'interno delle organizzazioni e raggiungere la conformità all'art. 32 del GDPR. L’adozione di questo framework consente alle aziende di basarsi su best practice internazionali per migliorare la propria cybersecurity posture, il loro livello di conformità al Regolamento e soprattutto rendersi partecipi di un cambiamento innovativo che riguarda non solo la produzione di beni e servizi ma anche il ruolo che il tessuto produttivo ricopre nei confronti di una cittadinanza sempre più in balìa di innovazioni feroci e a volte non agevolmente comprensibili. Tramite tale approccio, la compliance diventa strumento di cultura, di conoscenza e di salvaguardia dei diritti e delle libertà fondamentali dei cittadini.