Avv. Rocco Panetta
Managing Partner Panetta Studio Legale, Chairman PTP Privacy & Technology Professionals.
Nella società dell’informazione e nell’epoca della data economy, i patrimoni informativi delle imprese rappresentano un asset di inestimabile valore, in ragione della conoscenza contenuta ed estraibile da questi dati. Peraltro, l’incessante processo di digitalizzazione e datificazione di beni, servizi e rapporti – in definitiva, dell’intera esistenza umana – sta determinando una crescita esponenziale tanto dei volumi di dati prodotti, quanto dell’interesse a disporne in quantità e qualità sempre maggiori.
Dall’insieme di questi fattori emerge una nuova esigenza, che è sempre più una necessità: approntare adeguati sistemi di protezione dei dati aziendali. Ciò anche in ragione del progressivo diffondersi ed evolversi delle aggressione informatiche. Un trend sicuramente preoccupante e che non costituisce una novità degli ultimi mesi. Secondo il Rapporto Clusit 2023, tra il 2018 e il 2022 si è registrato un aumento del 60% degli attacchi cyber a livello mondiale, e il 2022 è stato un anno record per incidenti in Italia e in tutto il globo. Sono diversi i fenomeni, su scala locale e internazionale, che stanno contribuendo a questa vertiginosa impennata. La mancanza di un’appropriata consapevolezza del fenomeno ha però un peso specifico assolutamente dirimente. Tale carenza, infatti, ostacola – se non addirittura impedisce ab origine – l’attuazione di adeguati processi per l’adozione di idonee contromisure tecniche, organizzative e di governance. Si deve poi perlomeno menzionare il contributo del progresso tecnologico al diffondersi delle minacce cibernetiche. Sul punto, è particolarmente efficace richiamare i risultati di una recente ricerca di Home Security Heroes, secondo cui il 51% delle password più comuni può essere decifrato in meno di sessanta secondi attraverso l’utilizzo di algoritmi di intelligenza artificiale.
Agire prioritariamente per la corretta implementazione di idonee misure di protezione delle informazioni aziendali non è però soltanto un’opzione riservata ai più virtuosi. In certi casi è prima ancora un obbligo giuridico. Ciò capita innanzitutto quando un’impresa o un ente pubblico si trova a raccogliere, conservare, consultare (in una parola, trattare) informazioni che riguardano una persona fisica identificata o identificabile (e cioè dati personali), operazioni che ricadono nel campo di applicazione della normativa in materia di protezione e circolazione dei dati di natura personale. In questi casi, è proprio il Regolamento Generale sulla Protezione dei Dati (il GDPR) a imporre l’adozione di misure tecniche e organizzative idonee ad assicurare un livello di sicurezza adeguato al rischio. Tali misure, che possono ad esempio includere la pseudonimizzazione e la cifratura, devono essere scelte ed attuate seguendo una logica di piena responsabilizzazione (la c.d. accountability), con le autorità di controllo – in Italia il Garante per la protezione dei dati personali – pronte a intervenire a tutela dei diritti e delle libertà delle persone. Lo stesso GDPR, e la sempre più complessa, strutturata e fondamentale normativa sulla cybersicurezza, impongono poi importanti e stringenti obblighi di azione e di notifica nel caso in cui si verifichino incidenti di sicurezza e data breach. Si tratta di adempimenti che mettono in luce la necessità di disporre di infrastrutture sicure e resilienti e di processi organizzativi e gestionali efficienti ed efficaci.
La protezione delle informazioni aziendali passa dunque prioritariamente per l’adempimento a obblighi di legge. L’equazione può tuttavia essere letta anche in verso contrario, riconoscendo nell’adeguamento alle normative data protection e cybersecurity un fattore capace di aumentare il livello di responsabilizzazione e il grado di consapevolezza degli operatori economici, e in grado persino di diventare un fattore competitivo decisivo sul mercato.
Risulta di conseguenza fondamentale sviluppare appropriati programmi di compliance, dedicando tempo e risorse adeguate in relazione alle attività svolte dalla singola impresa, alle specifiche fonti di rischio e alle prospettive di sviluppo presenti e future. Processi e investimenti, questi ultimi, che devono essere regolarmente rivisti e aggiornati tenendo conto di ogni rilevante cambiamento di scenario interno, come l’apertura di nuova linea di business, o esterno, quale l’introduzione di una nuova normativa (si pensi, ad esempio, all’imminente approvazione del nuovo regolamento europeo sull’intelligenza artificiale). In questo senso, risulta certamente virtuosa – nel caso in cui non fosse già obbligatoria – la scelta di nominare di un Data Protection Officer (DPO), funzione di controllo e consulenza istituita dal GDPR proprio per affiancare aziende e pubbliche amministrazioni nell’attività di adeguamento continuo alle norme sulla privacy. Occorre infine non trascurare il fattore formazione, essenziale affinché tutte le attività programmate e i processi sviluppati possano trovare concreto e corretto riscontro nelle attività di business quotidiane.
