Si è tenuto presso l’Auditorium Ducati (Bologna) il corso teorico pratico sul tema: GDPR nelle Università ed Enti di Alta Formazione
Il corso si è svolto nella giornata di Giovedì 22 marzo 2018 ed è stato dedicato agli aspetti teorici e pratici del GDPR (Nuovo Regolamento Europeo Privacy UE 2016/679) soprattutto nelle Università e negli Enti di Alta Formazione (AFAM). (vedi locandina).
Organizzato da Tempo Srl (in questo link il sito dell’evento) con la collaborazione di G Data Software Italia, ha visto la partecipazione dei seguenti relatori:
-
- Prof. Giovanni Ziccardi, Professore di informatica giuridica e informatica giuridica avanzata presso la Facoltà di Giurisprudenza dell’Università degli Studi di Milano.
- Ing. Giorgio Sbaraglia, consulente aziendale per la sicurezza informatica e docente in corsi di formazione in materia di Cyber Security. Membro del CLUSIT (Associazione Italiana per la Sicurezza Informatica).
- Avv. Francesco Amato, Consulente in materia privacy, diritto delle nuove tecnologie informatiche.
- Dott. Claudio Di Martino, Servizio Infrastrutture Sistemistiche di CeDIA – Università degli Studi di Genova, esperto in cybersecurity e referente tecnico in materia GDPR in CeDIA.
Dopo l’introduzione di Giulio Vada, Country Manager di G Data Italia, è intervenuto il Prof. Ziccardi, che ha parlato degli aspetti applicativi del GDPR (che sarà operativo dal prossimop 25 maggio) in ambito universitario. Si è soffermato sulla figura del DPO (Data Protection Officer) che sarà obbligatorio per le università, in quanto enti di diritto pubblico. Ha anche messo in evidenza le tre differenti funzioni che il DPO ha (e che potrebbero risultare conflittuali):
-
- seguire l’azienda (il cui titolare lo vede come un suo collaboratore),
- rappresentare il referente per il Garante Privacy (che ha un registro con tutti i DPO designati dalle aziende),
- essere il punto di contatto con gli interessati, nella tutela dei propri diritti.
- Ha inoltre sottolineato l’importanza del Registro delle attività di trattamento, che serve per dare evidenza al Garante di quello che viene fatto (una utile mappatura, soprattutto in caso di incidenti) ed ha illustrato in merito le linee guida per le Università indicate dal Gruppo di lavoro CoDAU (Convegno dei Direttori Generali delle Amministrazioni Universitarie).
Giorgio Sbaraglia ha focalizzato il suo intervento sulla strettissima correlazione tra GDPR e Cybersecurity. Ha posto l’attenzione sul Data Breach (la perdita o violazione dei dati personali) che rappresenta l’aspetto più innovativo e dirompente del GDPR. Ed ha invitato i partecipanti a vedere questo imminente Regolamento non come un problema, ma piuttosto come l’opportunità per le aziende (e le università sono grandi aziende) per rivedere e migliorare la propria sicurezza informatica (oggi in generale piuttosto carente nella grande maggioranza delle aziende italiane). Il legislatore europeo non poteva imporre la Cybersecurity “per legge”, quindi è attraverso lo strumento del GDPR che cerca di farla crescere nelle aziende. Sarebbe quindi un errore imperdonabile pensare di “fare il minimo necessario per mettersi in regola”, dimenticandosi dell’importanza – vitale – dei propri dati.
Nel secondo suo intervento del pomeriggio, Sbaraglia (assieme all’Avv. Amato) ha poi illustrato quali sono le misure di sicurezza da mettere in pratica per ridurre i rischi di “data breach”. Molte di queste misure dovrebbero essere viste come regole di igiene informatica (“cyber hygiene”), che ogni azienda dovrebbe adottare per proteggere tutti i suoi dati, non solo per essere conforme al GDPR:
- Trasformare l’utente (il FATTORE UMANO) da anello debole a prima linea di difesa: in una parola “FARE FORMAZIONE”. È risaputo infatti che oltre il 90% degli attacchi informatici sono causati dall’errore umano.
- Applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati.
- Adottare politiche di patching dei sistemi.
- Minimizzazione (nella raccolta dei dati sensibili).
- Cifratura: crittografare i dati sensibili, per rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi.
- Pseudonimizzazione: in modo tale che i dati non possano più essere attribuiti a un interessato specifico, senza l’utilizzo di informazioni aggiuntive conservate separatamente.
È stato fatto anche un accenno alla ISO/IEC 27001 (Sistema di Gestione della Sicurezza delle Informazioni), che rappresenta una certificazione importante per la sicurezza dei dati, anche se non in grado di certificare completamente la conformità alla “Privacy by design”, così come prevista dal GDPR all’articolo 42.
Oltre a tutto questo, ha confermato una necessità già evidenziata dal Prof. Ziccardi: redigere una Policy Aziendale (con sanzioni progressive) che regoli il comportamento quotidiano dei dipendenti. Perché oggi non è più ammissibile accettare l’errore (informatico) del dipendente con la motivazione che “non poteva conoscere i rischi”. Cliccare su un’email sbagliata (per disattenzione o inconsapevolezza) può mettere a repentaglio i dati e quindi la sopravvivenza stessa dell’azienda.
© Copyright 2018 Giorgio Sbaraglia
All rights reserved.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.