Pubblica Amministrazione e Privacy | Delaini & Partners

X
X
x
x
x
X

Enzo Veiluva
x
x
X
X
X
x
x
X
X
X
X
x
x
x

Corso Unione Sovietica, 216
10134 - Torino

www.csipiemonte.it
X
X
Intervista di Breaking News

Quattro domande a Enzo Veiluva
Responsabile Protezione Dati in CSI Piemonte



Con l’approssimarsi della scadenza del 25 maggio, sentiamo parlare molto di GDPR nelle Aziende ma poco di quello che la Pubblica Amministrazione sta predisponendo a protezione della Privacy. Voi che operate a contatto con questo tipo di realtà ci potete dare qualche indicazione in proposito?

Sullo stato di adempimento del GDPR leggendo le principali statistiche e survey , prevalentemente dedicate alle PMI, pubblicate in questi ultimi mesi (vedi ad esempio: https://www.osservatori.net/it_it/osservatori/comunicati-stampa/gdpr-e-security-un-percorso-impervioa-a-trazione-integrale) si evidenza una maggiore presa di coscienza della problematica a livello nazionale , e questo vale anche per la pubblica amministrazione. Gli Enti stanno lavorando perseguendo prevalentemente le priorità fornite nell’estate scorsa dal Garante per la protezione dei dati personali, ovvero predisporre i registri di trattamento dati, identificare la figura del DPO e aggiornare i processi previsti in caso di data breach, ma hanno ben chiaro che non sono gli unici aspetti da considerare. L’informativa da aggiornare per i servizi ai cittadini, i contratti con i propri fornitori, la valutazione dei rischi sono solo alcuni degli ulteriori temi che devono essere trattati. La complessità dei processi e la scarsità di risorse (sia economiche che di personale) soprattutto nelle piccole amministrazioni (circa la meta dei Comuni del Piemonte ha meno di 1000 abitanti e pochissimo personale dipendente) complicano notevolmente le attività di adeguamento. È molto importante in questa fase sensibilizzare le piccole e medie amministrazioni sul tema protezione dei dati. Ed è per questo motivo, sotto l’egida della Regione Piemonte e in collaborazione con ANCI, è stata attivata l’iniziativa della “cassetta degli attrezzi“ per aiutare i Comuni ad adeguarsi alla nuova normativa (http://www.csipiemonte.it/web/it/comunicazione/iniziative-ed-eventi/1304-comuni-piemontesi-attrezzati-per-il-gdpr-istruzioni-per-l-uso)

La crescente diffusione di Banche Dati estese a gran parte della popolazione che raccolgono elementi anche molto delicati (pensiamo, solo come esempio, a quelli sulla salute) per renderne possibile la consultazione agli aventi diritto comporta una mappatura sui diritti di accesso molto più complessa di quanto debba fare un’azienda, anche molto grande. Ci sono accorgimenti particolari che vi risulta verranno presi?

Molti accorgimenti già ci sono. Ambiti come il Fascicolo sanitario o il dossier elettronico, sono già da tempo ben definiti e normati anche dai provvedimenti del Garante che definiscono le modalità tecniche e organizzative su come queste soluzioni devono implementare le regole per la salvaguardia dei dati personali particolari degli interessati. Parimenti le regole di interscambio di dati personali tra le pubbliche amministrazioni sono state chiaramente descritte nel provvedimento del 2 luglio del 2015 (in cui già si parlava anche di data breach). Ma è soprattutto con l’entrata in vigore del GDPR 2016/679 che i diritti delle persone e la tutela delle loro informazioni verranno ulteriormente rafforzati. Non si parla più difatti di misure minime di sicurezza, ma di misure di sicurezza che devono essere adeguate al livello di rischio per tutelare i diritti e le libertà dei cittadini. L’applicazione della Data Privacy Impact Analisys (meglio nota come DPIA ), sarà proprio il processo che deve far emergere, prima di implementare un servizio, tutte le condizioni di rischio e le relative contromisure che devono essere prese, affinché il rischio sia effettivamente mitigato. Questo approccio sarà uno dei grossi elementi di trasformazione culturale nell’attività di salvaguardia della privacy dei dati.


Quali sono gli strumenti - o gli interventi - che più di frequente suggerite alle aziende della P.A. per migliorare i livelli attuali di sicurezza e riservatezza?

Gli strumenti possono essere molteplici, sia di tipo organizzativo che tecnologico. Dal punto di vista organizzativo è necessario sviluppare ulteriormente la cultura della sicurezza nelle aziende e negli enti pubblici. C’è ancora molto bisogno di formazione a tutti i livelli . Un suggerimento può essere ad esempio di aderire ad associazioni che abbiano nella loro missione la diffusione dell’informazione e cultura della sicurezza (es il CLUSIT o l’AIPSI o altri ). E’ , a mio avviso , un valido passo per poter fruire di forum educativi, confronto e approfondimenti specifici sul tema sicurezza . In secondo luogo ritengo fondamentale l’attivazione di un sistema di alerting (vedi siti web di Cert -PA o Cert nazionale), ovvero attivare un sistema di analisi delle segnalazioni di allerta per comprendere se si è stati attaccati. Poter intervenire con rapidità nell’applicare patch e fix di vulnerabilità identificate e rese pubbliche o workaround temporanei è oramai un must da governare con massima attenzione (l’ondata Wannacry dovrebbe aver insegnato!). Terzo punto avvalersi di fornitori con sistemi di sicurezza che, debitamente istruiti, possano riconoscere e bloccare in automatico le minacce (e non intendo il classico antivirus) con strumenti in grado di correlare con specifici agenti una serie di eventi sospetti. Importante è poi analizzare con sistemi automatici le situazioni e cercare di apprendere dai log se qualcosa di non lecito sta avvenendo ed identificarne le cause in tempi rapidissimi. Le statistiche segnalano che circa il 50% delle violazioni viene scoperto solo dopo diverse settimane se non mesi! (fonte: It Security Risk Survey 2017 Gobal Data) Questa è una problematica che deve essere assolutamente superata.



Le misure tecnologiche rappresentano solo una componente del problema. Considerando che i dati passano spesso attraverso una gestione manuale o di sportello con il coinvolgimento di tantissimi operatori su tutto il territorio, quali sono le iniziative della P.A. in termini di formazione e sensibilizzazione del personale?

La cybersecurity non è solo una problematica tecnologica. Il cybercrime va combattuto con strumenti, con una nuova cultura sulla sicurezza, ma soprattutto con regole, processi e modalità operative (vedi es Misure di Sicurezza AGID per la PA”) che devono permettere a tutti di operare, correndo il minor rischio possibile per la salvaguardia delle informazioni e dei dati in possesso della Pubblica Amministrazione. A mio parere una delle maggiori sfide per i prossimi anni sarà proprio la difesa dell’End point e del suo utilizzatore (il dipendente). Questo è uno degli argomenti che si affronteranno anche nella serie di incontri di “Cantiere Sicurezza Digitale“ di FPA (vedi https://www.youtube.com/watch?v=Efkciz-hrN4). Da un lato è necessario formare le persone fornendo loro concetti pratici e concreti, come imparare a riconoscere le minacce nella loro operatività quotidiana che vanno dal riconoscimento dei malware nella posta elettronica alla protezione di base del posto di lavoro, alle accortezze da eseguire nelle operazioni di interscambio delle informazioni. Su questi argomenti il CSI Piemonte mette a disposizione sia docenze in aula che formazione in e-learning. I prossimi passi? Negli altri Paesi si stanno diffondendo sempre di più le campagne di verifica del grado di apprendimento della formazione dei dipendenti, tramite campagne di phishing simulato per mettere alla prova gli utenti, testando il loro livello di crescita sulle competenze di sicurezza. Potrebbe essere una buona idea iniziare ad attuarle anche nelle nostre Pubbliche Amministrazioni.

X