Conservazione dei dati in ottica GDPR e contro il cybercrimine

14 Marzo 2019

Quale strategia e servizi adottare per la gestione sicura e a norma dei dati, soprattutto quelli particolari, sensibili e sanitari?

Il 25 maggio 2018 in tutti gli Stati dell’Unione Europea è entrato in vigore il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR: General Data Protection Regulation). Il nuovo Codice della privacy, che sostituisce la Direttiva 95/46/EC sulla Protezione dei Dati risalente al 1995, tiene conto dei cambiamenti digitali e si applica alle imprese con sede e operanti in tutti gli Stati dell’Unione Europea.

Tramite questo regolamento si è voluto semplificare le norme relative al trasferimento dei dati e al loro trattamento da parte delle imprese, fornendo ai cittadini europei un controllo completo sui propri dati personali.

Le novità introdotte dal GDPR coinvolgono sia le aziende, per quanto riguarda la gestione dei dati che possono essere trattati solo con il consenso dell’utente, sia tutti i cittadini indipendentemente dalla località e della sede legale. La protezione delle informazioni deve avvenire secondo la logica “Privacy by Design” e sono previste sanzioni importanti a fronte del mancato rispetto del regolamento. Deve essere inoltre definito un responsabile della protezione dei dati, il cosiddetto Data Protection Officer, mentre gli utenti hanno il diritto di accedere ed eliminare i dati, in base al diritto all’oblio, e di riceverli e trasferirli presso altri enti.

Sono state inoltre fissate norme rigorose per i casi di violazione dei dati (data breach, ovvero violazioni della sicurezza) che comportano distruzione, perdita, modifica, divulgazione non autorizzata o accesso alle informazioni personali trasmesse, conservate o trattate*. Le aziende sono tenute a notificare alle autorità competenti e ai soggetti interessati i casi problematici che possono mettere a rischio “i diritti e le libertà degli individui”.

Questo è uno dei punti più delicati, tenendo presente che in base allo studio di IBM X-Force** e al Rapporto Clusit del 2018*** sono stati violati o rubati 11,7 miliardi di dati. Emerge che gli attacchi informatici in aumento sono quelli compiuti con finalità di Information Warfare e Cyber Espionage, ovvero spionaggio geopolitico o industriale. Tra tutti gli attacchi il Cybercrime, come crimine informatico volto alla sottrazione delle informazioni, denaro o entrambi, risulta essere la prima causa degli attacchi gravi a livello mondiale e rappresenta il 76% del totale.

I settori che vedono il maggiore incremento di attività fraudolente sono: sanitario, pubblico, ricerca e formazione, servizi online, cloud e bancario. Come si evince da quanto appena esposto, il Cybercrime viola i diritti degli individui, motivo per cui bisogna dotarsi di meccanismi di sicurezza in grado di proteggere i dati, non solo nella fase del trattamento, ma anche nella fase di conservazione degli stessi.

Tramite il servizio di conservazione a norma di Intesa (Gruppo IBM) è possibile conservare diverse tipologie documentali e con l’integrazione opzionale di alcune features anche gestire dati sanitari e particolari. La soluzione è fornita con funzionalità di massima sicurezza e affidabilità ed è nativamente integrata con le soluzioni di Firma Digitale e di sicurezza logica di Intesa, Ente Certificatore Accreditato presso AgiD (Agenzia per l’Italia Digitale) e Qualified Trust Service Provider eIDAS.

In generale, i servizi di conservazione a norma consentono di acquisire, generare, elaborare documenti e conservarli a norma, con una serie di vantaggi importanti:

Maggiore sicurezza dei dati trasmessi e conservati, garantita dall’affidabilità della piattaforma, dall’apposizione della firma e della marca temporale ad ogni singolo documento che tutelano il valore legale dei documenti di interesse civilistico e tributario conservati digitalmente.
Eliminazione della conservazione cartacea e dei conseguenti costi di stampa, tempi di archiviazione, riduzione dei costi legati all’inoltro dei documenti e recupero degli spazi legati agli archivi.

I dati particolari sono strettamente personali e la loro diffusione metterebbe a rischio i diritti dei singoli cittadini; per questo motivo, tali dati necessitano di accurati livelli di protezione che fanno leva su tecniche crittografiche avanzate. Per quanto riguarda i documenti sanitari, ovvero dati che indicano informazioni su condizioni di salute fisica o psicologica, definiti nel Considerando n. 35 del GDPR “dati personali relativi alla salute”, è previsto un ulteriore livello di sicurezza, la crittografia end to end, che fornisce la tracciatura prevista per i dati particolari con protezione aggiuntiva a monte e a valle del processo di gestione.

La conservazione a norma di dati e documenti garantisce quindi un elevato grado di protezione. L’utilizzo della crittografia contribuisce ulteriormente ad innalzare il livello di sicurezza nella gestione di tutti quei dati che, anche alla luce del GDPR, sono sempre più considerati il vero patrimonio delle aziende e degli individui.