Alla seconda conferenza internazionale sulla sicurezza informatica (GrappaHat, Aosta, 4-6 marzo 2016) – organizzata da Security Brokers (specializzata in cyberdifence e sicurezza IT) e patrocinata tra gli altri da DELL – hanno preso parte esperti da tutta Europa. A fare il punto delle novità emerse, è per noi l’avvocato Emiliano Vitelli, unico legale presente. Di seguito il suo contributo.
La conferenza
La conferenza, svoltasi nel centro sviluppo start-up di Aosta, è stata aperta dai ringraziamenti di Raimondo Donzel, Assessore alle attività produttive, il quale ha sottolineato la crescente importanza della sicurezza digitale per le imprese e le pubbliche amministrazioni, soprattutto nei rapporti tra le prime e le seconde (basta pensare alla recentissima accelerazione del sistema SPID). Gli interventi che sono seguiti (qui il programma) hanno affrontato, a 360 gradi e con un acceso dibattito le principali questioni che oggi riguardano il mondo digitale e le imprese.
Focus imprese
Nonostante il carattere molto tecnico, ho trovato particolarmente interessante l’intervento del CEO di Silensec, società di Nairobi, che nel suo intervento sull’utilizzo dei c.d. honeypot ha avuto modo di sottolineare due fattori importanti che devono essere tenuti inconsiderazione dalle imprese:
- il vero valore della sicurezza ormai non si misura non più soltanto con il grado di difesa che le aziende sono in grado di predisporre per i propri sistemi informatici, ma nella capacità di anticipare gli obiettivi delle possibili violazioni, debolezze e dei possibili attacchi (sia che questi arrivino dall’esterno che dall’interno dell’azienda);
- discutere di sicurezza vuol dire pensare in termini di maturità dell’impresa e cioè consapevolezza del rischio e della risposta adeguata.
Una maturità che, aggiungo, si raggiunge attraverso il coinvolgimento e l’integrazione della tecnologia con la compliance (privacy, 231, ISO, ecc.).
Novità normative
Ovviamente, e non poteva essere diversamente, si è discusso di Safe Harbor, Privacy Shield e Regolamento generale della protezione dei dati (GDPR). Non pochi dubbi sono stati sollevati, confermando anche quanto di recente è stato dichiarato da i responsabili privacy di Adobe, Microsoft e Google. A seguito di un recente incontro con l’Unione Europea, nel commentare il GDPR (di imminente emanazione), hanno chiaramente espresso le loro perplessità su un documento che non è stato scritto da chi conosce i meccanismi imprenditoriali ( “We have to keep in mind that the GDPR is 200 pages long. It’s huge and it’s written by people who don’t run businesses”, ha dichiarato MeMe Rasmussen, di Adobe).
Sulla questione, il dibattito svoltosi nel corso della Conferenza ha messo in evidenza due importanti aspetti su cui non si può che concordare:
- Le istituzioni europee e statunitensi che stanno lavorando sull’accordo Privacy Shield e l’Unione Europea, che si appresta ad emettere il Regolamento Generale Protezione dei Dati, hanno il dovere di affrontare le questioni della sicurezza e del trattamento dei dati in un’ottica globale ed efficace. Quel che ci si aspetta sono documenti e leggi che, da un lato permettano il pieno e sicuro sviluppo del business in generale e delle PMI in particolare, dall’altro garantiscano le libertà e i diritti (di espressione in primis) dei cittadini.
- Ma la realtà è anche un’altra. Non possiamo e non dobbiamo attendere che una cultura della sicurezza scenda dalle Istituzioni. Le imprese, come sempre si ripete, devono partire necessariamente dalla consapevolezza che la rivoluzione imprenditoriale ed il vero sviluppo dell’impresa 4.0 non può che partire dalle imprese stesse.
=> Luci e ombre del Privacy Shield
Il GDPR porterà fortissime novità. Ci si aspetta che venga adottato nei prossimi mesi e le imprese avranno tempo fino a 2018 per aggiornarsi. Si assisterà, a prescindere dalla critiche più o meno corrette, ad un vero e proprio cambio di prospettiva dove veramente tecnologia, sicurezza e diritto formeranno un unico tessuto che le imprese dovranno ritagliarsi per essere competitive.
_________
Avv. Emiliano Vitelli (vice presidente Centro Europeo Privacy)
