Molte aziende pensano erroneamente che la sicurezza informatica sia esclusa dall’ambito di applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR). Questa convinzione può portare a gravi conseguenze, sia dal punto di vista legale che da quello della protezione dei dati.
In questo articolo, approfondiremo la reale posizione della sicurezza informatica all’interno del GDPR, evidenziando come essa sia in realtà strettamente connessa e integrata con i requisiti normativi. Inoltre, forniremo indicazioni pratiche su come le aziende del settore telecomunicazioni e ICT possono aiutare per adeguarsi in maniera efficace.
La Sicurezza informatica non è esclusa
Contrariamente a quanto si possa pensare, il GDPR non esclude la sicurezza informatica dal suo ambito di applicazione. Al contrario, la sicurezza dei dati personali trattati, anche archiviati nel mondo online, è uno degli elementi cardine del Regolamento.
L’articolo 32 del GDPR, infatti, impone esplicitamente ai “Titolari del trattamento” e ai “Responsabili del trattamento”, ovvero le società dalla PMI alle grandi aziende, di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio a cui vanno incontro sia le aziende e sia i Clienti che decidono di affidare a loro i dati.
Tali misure devono comprendere, tra l’altro:
- La cifratura dei dati personali
- La capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento
- La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico
- Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
Inoltre, l’articolo 33 del GDPR impone l’obbligo di notificare all’Autorità di controllo eventuali violazioni dei dati personali (data breach) entro 72 ore dal momento in cui se ne è venuti a conoscenza.
Quindi, in sintesi, la sicurezza informatica non solo è inclusa e ben delineata dal GDPR, ma ne rappresenta uno degli elementi cardine.
Le aziende del settore telecomunicazioni e ICT devono pertanto considerarla parte integrante del proprio programma di compliance al Regolamento. Noi di Timenet, ad esempio, ci affidiamo solo a Partner che possono garantire la completa sicurezza dei Clienti. L’azienda di telecomunicazioni senza il giusto Partner tecnologico non può bastare, ognuno deve fare la propria parte.
Implicazioni pratiche per le aziende del settore
Per aiutare le società di oggi ad adeguarsi correttamente al GDPR in termini di sicurezza informatica, le aziende del settore telecomunicazioni e ICT devono:
Effettuare un’analisi dei rischi
Valutare attentamente i rischi per i dati personali trattati, tenendo conto di fattori come la natura, l’ambito, il contesto e le finalità del trattamento.
Implementare misure di sicurezza adeguate
Sulla base dell’analisi dei rischi, adottare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato. Ciò può includere l’implementazione di sistemi di autenticazione, crittografia, backup, gestione degli accessi, ecc.
Definire piani di risposta a incidenti e violazioni
Predisporre procedure per la gestione di eventuali violazioni dei dati personali, in modo da poter notificare all’Autorità di controllo entro il termine di 72 ore.
Formare e sensibilizzare il personale
Assicurarsi che tutti i dipendenti siano adeguatamente formati sulle tematiche della sicurezza informatica e della protezione dei dati personali.
Documentare e dimostrare la conformità
Mantenere una documentazione completa delle misure di sicurezza adottate e della loro efficacia, in modo da poter dimostrare la conformità al GDPR in caso di controlli.
Seguendo queste indicazioni, le aziende del settore telecomunicazioni e ICT potranno aiutare le aziende ad affrontare in modo efficace gli obblighi del GDPR in materia di sicurezza informatica, evitando il rischio di sanzioni, danni reputazionali e tutelando adeguatamente i dati personali dei Clienti delle società.
La Sicurezza informatica è esclusa dal GDPR: MAI
Per credere che la sicurezza informatica sia esclusa dal GDPR bisogna avere un livello di conoscenza degli ambiti del GDPR veramente inesistente. Lo ribadiamo ancora una volta: Al contrario, essa rappresenta uno degli elementi chiave del Regolamento, che impone specifici obblighi alle aziende in termini di protezione dei dati personali per loro e per la tutela dei loro Clienti.
Le imprese del settore telecomunicazioni e ICT devono pertanto adottare un approccio proattivo alla sicurezza informatica, integrandola pienamente all’interno del loro programma di compliance al GDPR. Solo in questo modo potranno evitare sanzioni e tutelare adeguatamente i dati dei propri clienti.
