Riprendiamo una vicenda del 2018 per sottolineare l’importanza di un adeguamento al GDPR, non solo formale, ma che riguardi anche la protezione dal “cybercrime”.
Piattaforma Russeau: 50 mila euro di sanzione per un sistema vulnerabile.
In realtà, è già la seconda sanzione comminata all’ associazione Rousseau, organizzazione che gestisce, per il Movimento 5 Stelle, il sistema di voto on line, per via di un problema di vulnerabilità informatica.
Per rimanere nell’ambito del mondo politico, ricordiamo che l’ufficio del Garante sta valutando la possibilità di sanzionare anche il Partito Democratico e/o la società che gestisce il portale web della sede fiorentina del partito. Infatti, un episodio di hackeraggio subito nel 2018, ha acceso i riflettori dell’Authority sulla gestione dell’infrastruttura tecnologica dell’organizzazione. Tra le altre cose, il PD, titolare dei trattamenti dei dati, si è “dimenticato” di nominare, come responsabile esterno, la società che gestisce la piattaforma web, generando varie situazioni di illiceità nei trattamenti. (clicca qui per leggere la pubblicazione del Garante sul PD)
Quindi, possiamo osservare come l’attenzione del Garante, si ponga sugli aspetti riguardanti, sia la conformità documentale e organizzativa, quanto quella relativa alla reale protezione, fornita ai dati dei soggetti interessati, grazie alle implementazioni di misure tecniche e organizzative, che, il titolare ed il responsabile del trattamento dei dati, sono tenuti a garantire (art. 24 e 32 del GDPR).
Di conseguenza, sarà bene attuare lo stato di conformità della propria organizzazione curando la reale protezione dei dati e non soltanto la parte formale e documentale, comunque prevista dalle normative.
Nel caso specifico della piattaforma Rousseau, la situazione di persistente vulnerabilità dei sistemi, è principalmente causata dall’obsolescenza del software impiegato e dagli insufficienti sistemi di accesso e di log management, che consentirebbero al personale dell’organizzazione di accedere ai dati degli utenti e modificarli. (clicca qui per leggere il provvedimento sull’Associazione Rousseau)
Perché nel titolo, accenno ad uno “spunto interessante”?
Lo “spunto” consiste nella presa di coscienza rispetto ad una corretta analisi dei rischi che, nell’ambito di un’analisi completa della situazione aziendale, non dovrebbe mai prescindere da una seria analisi delle vulnerabilità del sistema informatico (vulnerability assesment). Importante verificare, non soltanto server e pc, ma tutti i dispositivi connessi alla rete, dai router alle multifunzioni. C’è da considerare che il GDPR si riferisce alla protezione dei dati personali, ma garantire una piena protezione dei dati aziendali, consente di evitare fermi di produzione, furti di informazioni aziendali importanti e conseguenti danni economici e di reputazione.
Daniele Umberto Spano
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI