Nuovo decreto: Privacy, GDPR e Data Breach. Quali sono le nuove indicazioni?

Ogni anno nuovo che si rispetti porta con sé delle novità ed il Garante della Privacy ha colto l’occasione. Il 10 gennaio ha infatti pubblicato un nuovo decreto con ulteriori indicazioni rispetto al passato sulla tutela della privacy, e che prevedono:

• Nuova categorizzazione (tassonomia) con 6 categorie di incidenti informatici e varie fasi di attacco che obbliga alla notifica anche ad esempio dei “Movimenti Laterali”, cioè di quei metodi non autorizzati che servono a fare ricerche e a raccogliere credenziali e dati sensibili. In questo modo si rende più semplice sia la valutazione degli impatti che fornire una migliore assistenza ai soggetti attaccati.
• La notifica anche degli attacchi ai beni informatici non protetti già dal Perimetro Nazionale di Sicurezza Cibernetica.
• Il periodo di notifica degli incidenti che deve avvenire entro 72 ore dall'avvenimento del fatto, così come già prevede la legge 33 del GDPR.

Nel nuovo decreto sul data breach inoltre emerge quanto sia importante il concetto di accountability per le aziende che gestiscono dati personali, in quanto è inerente alla responsabilità che hanno, e che nello specifico ha il Titolare del trattamento, in merito alla protezione dei dati. L’accountability si ricollega così all’articolo 24 del GDPR che richiede la dimostrazione dell’adozione di tutte le misure tecniche necessarie per proteggere i dati personali dei propri clienti. 

Queste indicazioni non devono essere viste come uno stravolgimento di tutto, quindi niente panico! Basta un update del lavoro già fatto per essere conformi.

Ad esempio accorgimenti utili che proprio in questi giorni sto facendo mettere in atto ai clienti di Novocart Srl  sono l’implementazione dell'autenticazione a due fattori, la crittografia delle email e la sostituzione delle email generiche, quali “amministrazione@” o “info@”, con quelle nominali. Quest’ultimo è un accorgimento da non sottovalutare, perchè se ci pensiamo, le email generiche vengono viste da molte persone e utilizzate da altrettante per rispondere, e quindi spesso capita che non si sa chi sia l’utente specifico; con le email nominali invece si migliora nettamente l’individuazione delle risorse che gestiscono i dati e i mezzi informatici con cui lo fanno, ed analizzando i log, ossia la registrazione sequenziale e cronologica, e quindi la relativa tracciabilità, delle operazioni effettuate da un sistema informatico, si possono rilevare attività sospette e quindi capire ad esempio cosa gli hacker stanno cercando.

In conclusione, la protezione dei dati personali è sempre un tema di grande attualità e per quanto le normative sulla privacy siano sempre in continua evoluzione, ed il continuo adeguarsi possa spaventare, basta adottare i giusti provvedimenti per essere conformi e tutelati!