Sono recentemente stati pubblicati i consigli del Garante privacy per difendersi dal tanto temuto software che prende in ostaggio pc e tablet in cambio del pagamento di un riscatto.
L’intervento del Garante in materia di ransomware si colloca nel contesto di una serie di prodotti divulgativi ideati per sensibilizzare gli utenti sulle diverse tematiche connesse alla protezione dei dati personali tramite l’impiego di nuove tecnologie.
Stando ai dati forniti dal Presidente della Commissione europea, Jean-Claude Juncker, nel suo discorso annuale sullo stato dell’Unione, nel 2016 si sono verificati più di 4.000 attacchi con ransomware al giorno e l’80% delle imprese europee ha subito almeno un incidente di cibersicurezza. Solo negli ultimi quattro anni l’impatto economico della cibercriminalità si è quintuplicato.
Tra i consigli diffusi dal Garante figurano l’effettuazione di backup periodici, l’attenzione nell’apertura delle email, in particolare se provenienti da soggetti sconosciuti o con cui non si hanno rapporti e l’utilizzo di efficaci antivirus.
Le necessarie misure di carattere tecnico-informatico dovranno tuttavia essere accompagnate anche dallo sviluppo e dalla diffusione di una “cultura della privacy” volta a stimolare tutti i soggetti convolti in attività di trattamento dei dati verso l’adozione di strumenti anche di carattere giuridico, oltre che informatico, mirati ad implementare la sicurezza dei dati.
Proprio in tale contesto si colloca la nuova normativa europea privacy, contenuta nel regolamento UE 2016/679 che mira a stimolare le imprese verso un adeguamento efficace ed efficiente all’attuale evoluzione tecnologica. La soluzione proposta dal legislatore europeo si basa, infatti, sulla prevenzione mediante responsabilizzazione del titolare del trattamento dei dati che, tramite nuovi istituti come ad esempio la valutazione di impatto, per i trattamenti che presentino elevati rischi, dovrà in via preventiva adottare tutte le cautele necessarie per un lecito trattamento dei dati.
È dunque indispensabile, come richiesto dal Regolamento, che lo studio circa l’adeguatezza delle misure impiegate da ogni singola realtà aziendale avvenga sin dalla fase di progettazione dei sistemi (secondo i criteri di privacy by design e privacy by default) nel rispetto dei principi di precauzione e prevenzione.
Altrettanto indispensabile risulterà la formazione del personale dipendente e dei collaboratori che sono coinvolti in attività di trattamento, e ciò al fine di garantire un continuo monitoraggio a più livelli dei potenziali rischi.
(a cura dell’ufficio di Bologna – Prof. Avv. Massimo Campailla e Dott.ssa Marta Tonioni – 0512750020)