Tag: Disaster recovery

Posted on

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Posted on

La gestione delle crisi in azienda

La gestione delle crisi in azienda

Le PMI non hanno un piano per fronteggiare le crisi. Questo è quello che emerge dal seminario organizzato da Skillab sulla Business Continuity

È sempre illuminate partecipare ai seminari organizzati su questo genere di temi. Il 13 febbraio ho avuto modo di assistere all’evento organizzato da Skillab (l’ente di formazione di riferimento per l’Unione Industriale di Torino) in collaborazione con Il Geneva Centre for Security Policy (una fondazione internazionale costituita nel 1995, con 51 Stati membri con lo scopo di promuovere la pace, la sicurezza e la cooperazione internazionale).

Un gruppo di relatori di livello e variegato, composto dal Generale Carlo Cabigiosu, dall’ avvocato Pietro Mulatero (AD di FATA Logistics spa), dal dottor Carlo Maria Breziglia (responsabile Information Security e Business Continuity di Intesa San Paolo Group Service) e dal professor Antonio Lioy (docente di Computer System Security del Dipartimento di Automatica e Informatica del Politecnico di Torino).

La Business Continuity è la capacità di una impresa di proseguire la propria attività anche nel caso in cui sia colpita da disastri dovuti a cause naturali o al fattore umano.

La presa di coscienza da parte delle aziende della necessità di riflettere – e di essere preparate – su questo tema è il primo passo verso la pianificazione di strategie che siano in grado di mitigare gli effetti dirompenti di tali eventi e garantire la sopravvivenza dell’organizzazione.

Un piano di Crisis Management è, dunque, lo strumento di azione per la gestione e il superamento di grandi eventi e sulla importante questione del decision-making davanti agli stessi.

Purtroppo, il quadro che emerge dalle statistiche è poco incoraggiante: sono poche le organizzazioni – sia pubbliche che private – che non hanno un piano di Business Continuity (BCP) e ancora meno quelle che lo hanno coerente con la loro realtà e facilmente attuabile. Il dato su cui riflettere è che quasi la totalità delle PMI ne è priva.

Ma da dove sorge questa mancanza? Un ruolo rilevante lo giocano la relativa mancanza di fondi da destinare a un progetto del genere, l’insensibilità delle dirigenze in tal senso, la scarsa attitudine a progettare strategie di lungo periodo.

Questo porta le imprese e il sistema economico a essere fragile in occasione di determinati eventi.

La crisi, di per sé, è da considerarsi come un qualunque evento che possa mettere a repentaglio l’operatività, la produzione, il patrimonio, le risorse economiche, la posizione sul mercato o l’immagine aziendale o la percezione che il pubblico ha dell’ente. Tale evento è spesso di genere naturale, ma da quando i computer e l’automazione hanno assunto un ruolo sempre più rilevante nella vita economica mondiale, gli eventi critici hanno iniziato a diventare anche colpa dell’intervento umano; senza dimenticare le attività criminose e terroristiche che, da sempre, costituiscono un pericolo.

Tutelarsi prevenendo la crisi e sapendo come agire durante il suo svolgimento, quindi, è cruciale e può rappresentare un vantaggio competitivo non indifferente. Basti pensare che dopo gli attentanti di Londra nel 2007, molte compagnie di assicurazione tendono a non coprire alcuni danni (per esempio da mancati ricavi) in assenza di un BCP. C’è da aspettarsi che accadrà così anche in Italia? Per il momento, non credo.

In estrema sintesi, questi sono i punti su cui ritengo (e consiglio caldamente di farlo) sia importante riflettere:

  • Bisogna gestire la crisi in tempo di pace, ossia bisogna fare prevenzione e organizzarsi prima che avvenga il disastro (per esempio una violazione dei dati personali, un incendio, la mancanza di mezzi o l’indisponibilità di persone o strutture e locali);
  • Bisogna pianificare gli interventi e le strategie dell’impresa;
  • È opportuno fare simulazioni degli eventi dannosi, testare i sistemi di prevenzione e protezione e “allenare” tutti i membri dell’organizzazione;
  • L’IoT è percepita come la sfida principale sul fronte della sicurezza informatica, considerando anche il suo impatto sulla privacy”;
  • Bisogna fare attenzione e considerare tutta la filiera e tutti i soggetti interni ed esterni coinvolti nella propria attività (supply chain);
  • Bisogna creare una cultura aziendale;
  • Il rispetto delle leggi e dei regolamenti (GDPR, Dlgs 81/2008, Dlgs 231/01, ISO, linee guida…) e la compliance sono anche un utile strumento per ridurre determinati aspetti del rischio e creare consapevolezza e cultura, soprattutto nel management;

È utile raccogliere informazioni e studiare gli incidenti, i disastri e i “quasi incidenti”, nell’ottica di un continuo monitoraggio e di un continuo miglioramento.