La formazione come strumento di protezione nella tutela dei dati. Ecco l’obbligo che può salvare l’azienda.

La digitalizzazione morde il freno. Sì, perché, se il mondo di internet è entrato ormai da decenni in maniera preponderante in tutti gli aspetti della vita delle persone e, soprattutto, delle aziende, pubbliche e private, a maggior ragione la grave emergenza sanitaria che stiamo vivendo rappresenta lo step definitivo nel passaggio al web, in cui è necessario avere preparazione e competenza.

Divieto o comunque attenzione nei contatti fisici, didattica a distanza nelle scuole e velocità nella diffusione di dati e documenti, per fare esempi concreti, hanno ormai definito l’evoluzione dal mondo fisico (quello reale) al mondo virtuale (e parallelo) del sistema internet. Il quale prima era un mondo “possibile”, mentre ora è diventato necessario. Ecco, quindi, le priorità del sistema Italia e delle sue aziende: si deve puntare tutto sulla digitalizzazione (in modo da migliorare la classifica che ci vede al quart’ultimo posto); la formazione e le competenze digitali devono essere lo strumento per fare questo “scatto in avanti”.

La formazione è obbligatoria

Formazione, in questo ambito, non è un termine generico: ha un preciso contenuto e obiettivo. Il principio a cui stiamo facendo riferimento è quello esplicitato, dal punto di vista normativo, nell’articolo 29 del Gdpr sul trattamento dei dati, che recita. “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.

Da qui nasce l’obbligo, che è una necessità di sicurezza: chi lavora con i dati, deve avere un’istruzione, ovvero una competenza, che si configura come un obbligo in materia di privacy. Non si può transigere. Per questo, anche considerando la gravità delle sanzioni (amministrative e pecuniarie fino a 10 milioni di euro o pari al 2% del fatturato), diventa imprescindibile, per chi opera in un’azienda, affrontare tale aspetto nel modo migliore, affidandosi a chi fa, della preparazione e della competenza in materia, la ragione del proprio operare, come la nostra azienda, grazie al know-how che possediamo.

La formazione come necessità per evitare o limitare i rischi

L’importanza della tutela dei dati, affinché non siano rubati o comunque illecitamente studiati da chi non ne ha il diritto, è la ratio che sta alla base della norma. Si pensi ad un semplice cyberattacco da parte di hacker interessati ad entrare nel sistema per appropriarsi di dati. E’ il caso di rischiare? Chiaro che un’azienda lungimirante sa bene che è meglio prevenire che curare: se si impara a combattere, quell’attacco sarà annientato. Se si sanno usare le “cyberarmi”, allora si potranno evitare i guai. Senza arrivare a capirlo solo dopo che la frittata è fatta.

Un ragionamento molto più vicino alla realtà quotidiana di quello che si pensi, ovvero la realtà dell’emergenza sanitaria in atto. In questo momento, per esempio, la quantità di dati che si muovono all’interno delle Ulss (per i risultati di tamponi e test, che vengono eseguiti in quantità elevate per cercare di “scovare” e tracciare i malati) è notevole, molto più di quello che accadeva nei periodi precedenti o “normali”.

Si pensi a cosa potrebbe succedere qualora un cyberattacco riuscisse ad entrare in questi flussi, prendendo possesso dei dati: sarebbe come entrare nel caveau di una banca potentissima. Oppure al caso degli hacker che hanno rubato 2,3 milioni di dollari alla campagna elettorale di Trump: i pirati informatici hanno messo a segno un attacco al partito repubblicano del Wisconsin e rubato i finanziamenti dal conto utilizzato per finanziare la campagna per la rielezione del presidente. Basta riflettere su questi due casi per capire l’importanza della formazione per la cybersecurity, ovvero la protezione di un’impresa.

Un vaccino e la responsabilità oggettiva

Arrivare al rischio zero è possibile? Non si può dare una risposta certa al quesito, ma deve essere nel dna di un’azienda operare per arrivare il più vicino possibile a quel risultato. E va ribadito che solo con la formazione, quindi la competenza, adeguate, si può puntare al massimo della protezione. Vista la situazione che si sta vivendo a livello globale, in cui tutti gli stati stanno lavorando (nel “mondo fisico”) alla creazione di un vaccino contro il Coronavirus, non è fuori luogo pensare che, chi opera nel settore della cybersecurity, debba tendere a trovare il massimo delle tutele con un “vaccino” che si possa applicare al mondo del web.

Qui si innesta però un altro tema, quello della possibile responsabilità oggettiva in capo a chi tratta i dati. Un concetto a cui si potrebbe pensare se si guarda con attenzione al caso della maxi sanzione alla “Morgan Stanley”, per la dismissione non adeguata dei server della banca.

Ciò nonostante questa dismissione fosse stata affidata ad una società esterna e siano stati eseguiti tutti i passaggi successivi, necessari per informare i diretti interessati della violazione delle banche dati. Da qui si rileva che la tutela potrebbe rientrare addirittura in una forma di responsabilità oggettiva, cioè a prescindere dalla buona fede e dalla buona volontà di chi opera. Solo con una preparazione adeguata, chi è responsabile del trattamento dei dati può evitare situazioni che sembrano paradossali o impossibili, ma che tali non sono dato che rappresentano rischi reali.  

Scarica questa infografica e scopri le 5 regole base per evitare incidenti e violazioni dei dati.