Il General Data Protection Regulation (GDPR) è il nuovo regolamento Europeo che disciplina le modalità con cui le organizzazioni raccolgono, gestiscono e conservano i dati personali dei cittadini dell’Unione Europea. Il GDPR si applica a qualsiasi organizzazione che gestisca dati di cittadini residenti nel territorio dell’UE, indifferentemente dal loro domicilio. L’obiettivo principale del regolamento è quello di rafforzare la tutela dei diritti dei cittadini, aumentando il controllo sull’utilizzo dei dati e rafforzando i diritti connessi alla privacy.

Il regolamento, organizzato in 11 capitoli e 99 articoli, avrà efficacia dal 25 maggio 2018 e tutte le aziende europee dovranno adottare le misure di sicurezza adeguate, conformandosi ad esso.

Trattandosi appunto di Regolamento e non di Direttiva, gli Stati Membri dovranno adeguarsi disapplicando le normative nazionali vigenti. In Italia, l’attuale “Legge Privacy “ D.Lgs 196/2003 sarà oggetto di revisioni, come già avvenuto in precedenza. Un chiaro riferimento alla sicurezza informatica si rinviene già nell’art. 24 del Regolamento: esso prevede che il titolare del trattamento dei dati metta in atto misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali sia effettuato in maniera conforme al regolamento.

Di particolare rilievo è l’art. 32 del regolamento, il quale porta da ”minime” ad ”adeguate ” le misure per garantire la sicurezza dei dati .

Ma cosa si intende quando si parla di sicurezza informatica? 

Con la locuzione “sicurezza informatica” si intende il complesso delle misure tecniche volte a garantire la protezione hardware e software dei sistemi informatici e di tutti i dati in essi contenuti, in particolare dagli accessi non autorizzati leciti o illeciti, al fine di evitare la copia, la modifica e/o la cancellazione dei dati.

L’attuazione di contromisure di sicurezza adeguate è divenuta nel tempo sempre più complessa a causa dello sviluppo di nuove tecnologie per l’elaborazione e il trattamento dei dati, inseriti in un’informatica distribuita a vari livelli.

Il nuovo regolamento europeo assume un significato rilevante, data la preoccupante crescita di attacchi e incidenti di natura informatica, tendenza data in aumento da tutti gli attuali studi di settore. Tali attacchi sono sempre più difficili da fronteggiare data la quantità di risorse messe in campo dai cyber criminali e dalla crescente sofisticazione delle tecniche e degli strumenti utilizzati.

Alcune contromisure valide possono essere antivirus, firewall, difese perimetrali, alle quali vanno affiancate strumenti di monitoraggio e gestione degli utenti interni alla rete, sempre più spesso presi di mira da attacchi che in gergo prendono il nome di  “privilege escalation”, attraverso i quali i cyber criminali riescono ad assumere il controllo remoto delle macchine.

Inoltre è necessario munirsi di strumenti che permettano l’individuazione in tempi brevi di eventuali brecce nel sistema informatico, in modo da poter informare tempestivamente l’Autorità Garante e il soggetto dei dati interessati.

In quest’ottica, è fondamentale l’analisi sistematica delle vulnerabilità dei sistemi informatici, che permette di porre in sicurezza rispetto a quelle che sono le tecniche più o meno diffuse di attacchi, eliminando eventuali punti di debolezza determinanti per il successo dell’attacco. Inoltre, durante questa fase di analisi, si potranno individuare eventuali attacchi in essere, arginando i danni sia diretti, come il danno economico, che indiretti, come la reputazione.

Si dovranno inoltre disporre adeguati livelli di sicurezza per quanto concerne :

– pseudonimizzazione e cifratura dei dati personali;

– continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

– ripristino della disponibilità e dell’accesso dei dati in caso di incidente;

– verifiche regolari per valutare l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Notevole importanza viene posta, quindi, sull’anonimato del dato che, anche se trafugato, non potrà essere ricondotto al soggetto interessato, sulla capacità del sistema informatico di adattarsi ai vari scenari e sulla predisposizione di piani per la disaster recovery.

Concludendo, secondo i criteri del Legislatore per “sicurezza delle reti e dell’informazione” si intende la resilienza di un sistema d’informazione nel possedere un adeguato livello di sicurezza e resistere a eventi imprevisti, o azioni non legittime che compromettono la disponibilità, l’integrità, l’autenticità e la riservatezza dei dati personali (conservati o trasmessi) e dei relativi servizi offerti tramite reti e sistemi.