Gli attacchi hacker sono una realtà che non può essere ignorata: ogni azienda che tratta o è in possesso di dati sensibili, particolari o riservati è a rischio. Gli eventi della scorsa settimana hanno scoperto il vaso di pandora. Decine di migliaia di siti nel mondo si sono paralizzati a causa di un virus definito “cyber lock”: dalla Fedex alla compagnia telefonica spagnola Telco agli ospedali  del regno Unito, oltre che in Italia.

Le conseguenze non sono però semplicemente l’inacessibilità al sito web o il blocco di alcune funzionalità. L’incursione ha causato la dispersione di migliaia di dati personali e sensibili, il blocco di servizi e di cicli produttivi, danni economici e di immagine per le società coinvolte.

La domanda che tutti si stanno facendo è: come fare per tutelare i proprietari di tali dati. Ma soprattutto l’azienda che li gestisce o detiene? A che punto è la mia impresa a livello di sicurezza interna?

Il regolamento europeo CE 679/2016

Forse non tutti sanno che l’Unione Europea ha ben chiaro da tempo il problema, i rischi correlati agli attacchi hacker e più in generale il trattamento  dei  dati. E su questo ha sviluppato un nuovo regolamento già attuativo cui tutti le imprese dell’unione dovranno adeguarsi entro il 25 maggio del 2018.

Il data officer protector

Tutte le aziende trattano dati di clienti, fornitori, personale interno e  mantengono un database, dovranno istituire la figura del data officer protector.  Si tratta del Responsabile del Trattamento dei dati personali aziendali a cui dovranno essere affidate la gestione delle policy in materia di protezione dei dati. Oltre a questa figura, le aziende dovranno implementare altre best practices all’apparenza banali ma fondamentali per adeguarsi alla norma europea.

 5 cose (e non solo) che è necessario fare secondo il regolamento

1. Ottenere “specifiche ed esplicite” forme di consenso da parte degli interessati nelle operazioni di archivio dei dati;
2. Il Titolare del trattamento, o il Responsabile, dovrà essere sempre in grado di fornire la prova del consenso di quello specifico trattamento autorizzato;
3. Adottare misure tecnologiche (privacy by design) che riducano il trattamento dei dati personali al minimo necessario;
4. Obbligo di notifica di eventuali perdite di informazioni (serious breaches) entro 72 ore dall’evento all’autorità garante.
5. Elaborare un regolamento interno di protezione dei dati (basato sul privacy impact assessment).

Prepararsi a recepire tale normativa è quindi una prerogativa delle aziende coinvolte: un investimento che aiuterà a garantire maggiore sicurezza. Sensibilizzare e aiutare le aziende in questo cammino è uno dei nostri compiti, attraverso assessment e moduli formativi appositi.