NEWS

Senza cybersecurity non può esserci né privacy né conformità al GDPR

La maggior parte delle organizzazioni pubbliche e private investono denaro e risorse per essere in regola con il GDPR, ma a 5 anni dall’introduzione del Regolamento europeo sulla protezione dei dati personali un sondaggio condotto dall’Osservatorio di Federprivacy ha rivelato che il 78% delle aziende italiane considerano ancora il rispetto del GDPR come una mera burocrazia.

privacy e cybersecurity sono a tutti gli effetti due facce della stessa medaglia

A farne le spese con un pericoloso effetto boomerang sono spesso le stesse aziende, che concentrandosi sugli aspetti formalistici della privacy finiscono per trascurare la sostanza della protezione dei dati, e le oltre 100.000 notifiche di data breach che sono state trasmesse lo scorso anno alle autorità di controllo europee sono un preoccupante indice che non può passare inosservato.

Le conseguenze dell’approccio burocratico alla privacy possono essere infatti disastrose per le organizzazioni che non hanno fatto niente altro che produrre documentazione in materia di GDPR che, anche se potrebbe dare una sensazione di illusoria conformità, servirà poi a ben poco se non vi è stato dato seguito con delle azioni concrete per mettere effettivamente in sicurezza i dati.

In primo luogo perché l’azienda che non è in grado di dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire di aver protetto i dati viola il principio di accountability richiesto dal Regolamento UE 2016/679, e si espone quindi al rischio di pesanti sanzioni amministrative.

Ma oltre alle multe, quando si verifica un data breach si possono innescare degli effetti a catena con serie ripercussioni e ostacoli alla normale prosecuzione delle attività produttive, perdite di dati, danni reputazionali, costosi interventi di ripristino, e in certi casi anche pagamenti di ingenti somme di denaro che i criminali informatici possono riuscire ad estorcere per restituire l’accesso ai dati aziendali dopo averli presi in ostaggio a seguito di un attacco ransomware.

La sfida della protezione dei dati si può quindi vincere solo con un approccio multidisciplinare che curi al tempo stesso sia gli impatti legali che quelli sulla cybersecurity, e come ha affermato qualche tempo fa Wojciech Wiewiórowski, Garante europeo per la protezione dei dati, “non c’è protezione dei dati senza sicurezza informatica, e non c’è sicurezza informatica senza protezione dei dati”, anche perchè ormai privacy e cybersecurity sono a tutti gli effetti due facce della stessa medaglia.

Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Anche se nella realtà quotidiana delle organizzazioni i professionisti che si occupano della protezione dei dati che sono esperti o di compliance normativa o di cybersecurity viaggiano spesso su due binari paralleli che raramente si incontrano, è necessario però che essi trovino delle convergenze per evitare di ingigantire le criticità anziché risolverle insieme cooperando tra di loro.

Specialmente con la crescente diffusione dei sistemi di intelligenza artificiale che stanno rendendo sempre più complicata una materia che complessa lo era già, è fondamentale perciò che gli addetti ai lavori facciano sempre più gioco di squadra, e per perseguire questo obiettivo sono particolarmente apprezzabili quegli eventi formativi come il Cyber & Privacy Forum 2023 che si propongono come obiettivo proprio quello di creare convergenza aiutando professionisti giuridici e informatici che si occupano della protezione dei dati a parlare una “lingua comune”.

Nicola Bernardi, presidente di Federprivacy (Nòva Il Sole 24 Ore)

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Il Digital Services Act è molto più di una semplice regolamentazione del web
Next Non possiamo permetterci il lusso di spegnere il cervello pensando che la sicurezza dei nostri dati sia un problema di ‘qualcun altro’

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy