Articoli

Cyber security: l’AgID mette a disposizione il tool di valutazione del rischio cyber

Avv. Vincenzo Colarocco

L’Agenzia per l’Italia Digitale (AgID) è l’agenzia tecnica della Presidenza del Consiglio che si occupa di presidiare la realizzazione degli obiettivi dell’Agenda digitale italiana e promuovere l’utilizzo delle tecnologie dell’informazione e della comunicazione nell’ottica dell’innovazione e dello sviluppo economico. In particolare, l’AgID supporta e coordina le pubbliche amministrazioni nell’esecuzione del progetto di digitalizzazione di cui al Piano Triennale per l’informatica della P.A.. Nell’esercizio della propria funzione, l’AgID ha sviluppato e messo a disposizione delle P.A. un tool di autovalutazione per il calcolo del rischio cyber.

[Immagine estratta dal sito https://www.sicurezzait.gov.it/cyber/]

Il servizio, conforme al Regolamento Generale sulla protezione dei dati ha l’obiettivo di fornire una prima e indicativa analisi dello stato di compliance in tema di cybersecurity, al solo scopo autovalutativo (pre-assessment), senza sostituirsi agli strumenti messi a disposizione dalle autorità competenti, anche alla luce del generale principio di accountability o responsabilizzazione del titolare del trattamento. È possibile accedere al tool previa autenticazione mediante SPID al sito https://www.sicurezzait.gov.it/cyber/.

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.

Come calcolare il rischio data protection? Arriva il tool dell’ENISA

Avv. Vincenzo Colarocco

Sin dal 2018, l’Agenzia europea per la sicurezza delle reti e dell’informazione, anche nota come ENISA, in linea con il principio di accountability sancito dal legislatore comunitario, ha promosso un approccio basato sul rischio per l’adozione di misure di sicurezza per la protezione dei dati personali. Nell’esercizio della propria funzione, tutta incentrata sull’analisi di soluzioni tecniche ottimali per l’implementazione degli adempimenti prescritti dal GDPR, in un’ottica di mitigazione del rischio, l’Agenzia ha lanciato una piattaforma online che consente di ottenere il profilo di rischio del trattamento posto in essere. La piattaforma è da intendersi come strumento collettivo per la gestione del rischio lato data protection: infatti, le raccomandazioni si riferiscono non soltanto alle PMI, ma anche agli organismi competenti dell’UE ed alle autorità di controllo, fino alla Commissione europea.

La piattaforma è stata resa disponibile in occasione della giornata della protezione dei dati personali 2020, il 28 gennaio.

Videosorveglianza e modifica degli assetti aziendali: cosa fare?

Avv. Vincenzo Colarocco

Con la circolare n. 1881 del 25 febbraio 2019, avente ad oggetto “indicazioni operative in ordine al rilascio di provvedimenti autorizzativi”, l’Ispettorato Nazionale del Lavoro (INL) fornisce una serie di indicazioni operative circa la corretta applicazione dell’art. 4 della legge 300/1970 (Statuto dei Lavoratori) nelle ipotesi di intervenuti processi di modifica degli assetti proprietari (quali a mero titolo esemplificativo, cessioni, fusioni, affitto di ramo d’azienda, ecc.).

In particolare, ci si chiede se, nelle ipotesi di cambiamento di titolarità dell’impresa che ha installato impianti audiovisivi o altri strumenti di controllo a distanza dei lavoratori sia necessario rinnovare le procedure di accordo in sede sindacale o autorizzativa o se sia sufficiente che la sopravvenuta modifica della proprietà venga resa formalmente nota alle sedi competenti dell’Ispettorato.

Su tale aspetto, l’INL è intervenuto precisando quanto segue: “il mero “subentro” di un’impresa in locali già dotati degli impianti/strumenti non integra di per sé profili di illegittimità qualora gli impianti/strumenti stessi siano stati installati osservando le procedure (accordo collettivo o autorizzazione) previste dall’art. 4 della L. n. 300/1970e non siano intervenuti mutamenti dei presupposti legittimanti (organizzative e produttive, quelle di sicurezza sul lavoro e quella di tutela del patrimonio aziendale) e delle modalità di funzionamento degli strumenti di sorveglianza.

Resta fermo l’obbligo per l’azienda “che subentra” di: (i) comunicare all’Ufficio che l’ha rilasciato, gli estremi del provvedimento di autorizzazione all’installazione degli impianti; (ii) di rendere una dichiarazione attestante che –con il cambio di titolarità- non sono mutati né i presupposti legittimanti il suo rilascio, né le modalità di uso dell’impianto audiovisivo o dello strumento autorizzato.

Tale circolare è del tutto coerente con la responsabilizzazione (c.d. accountability), prevista dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali demandando alle aziende le modalità di tutelare un proprio interesse legittimo, rispettando, pur sempre, la dignità e la riservatezza dei lavoratori.