Mobile security e GDPR

Ieri ho partecipato ad un interessante webinar curato da The Innovation Group in tema di mobile security alla luce della nuova disciplina introdotta dal GDPR, che entrerà in vigore il 25 maggio 2018.

I relatori – Elena Vaciago , Gloria Marcoccio e Riccardo Canetta – hanno illustrato in modo efficace quali possono essere alcune soluzioni pratiche, con specifico riguardo alla mobile security, in risposta alle prescrizioni dell’art. 32 del GDPR, che impone alle aziende di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Bisogna, innanzitutto, premettere che, secondo dati recenti, le violazioni di dispositivi mobili (smartphone, tablet, notebook) producono, mediamente, costi alle aziende nell’ordine di Euro 100.000,00 nel 40% dei casi; nell’ordine di Euro 500.000,00 nel 25% dei casi.

Si tratta, quindi, di un problema già oggi rilevante e che diverrà sempre più importante in futuro, sia per l’intensificarsi degli attacchi ai dispositivi mobili, sia per il rischio di vedersi comminare sanzioni elevate da parte dell’Autority, in applicazione delle norme del GDPR (ricordo che il Regolamento prevede sanzioni fino a 2 milioni di Euro o fino al 4% del fatturato mondiale). 

L’attenzione ai dispositivi mobili, per le aziende, sarà cruciale ed imporrà l’adozione di numerosi ed articolati accorgimenti tecnici per tutelare i devices nelle fasi di:

  1. autenticazione e accesso al dispositivo;
  2. elaborazione dei dati svolta in locale;
  3. interazione dei devices tramite internet (cloud, geolocalizzazione, etc.).

Altro grande profilo problematico da risolvere sarà quello del controllo dei lavoratori in remoto (pensiamo, ad esempio, al dipendente fuori sede che deve contattare un servizio di geolocalizzazione per svolgere un determinato compito o che si connette alla rete tramite una specifica app): in questi casi, la disciplina privacy dovrà essere coordinata con le norme giuslavoristiche in materia.

In relazione, poi, al profilo di liceità del trattamento (art. 6 del GDPR), rilevano gli aspetti legati:

  1. al consenso: l’informativa dovrà necessariamente essere chiara ma sintetica e semplice, per andare incontro alle esigenze di visualizzazione dei display dei dispositivi mobili;
  2. al contratto: dovrà essere riposta grande attenzione ai contenuti dei contratti con le software house e con i provider di servizi per definire standard adeguati al GDPR dei cosiddetti privacy agreements (e questo, perlomeno, fino a che la Commissione non adotterà criteri di certificazione che permetteranno il superamento della negoziazione caso per caso);
  3. all’obbligo legale: pensiamo, ad esempio, al rispetto delle norme di sicurezza per i lavoratori.

Considerato che per il GDPR l’analisi dei rischi è fondamentale, per ogni fase del processo di trattamento dei dati diviene ineludibile l’adeguata formazione del personale: al riguardo, viene suggerito di utilizzare la prassi delle “pillole informative” con cadenza temporale costante (ad esempio, email periodiche che richiamino all’osservanza di best practice in materia privacy) piuttosto che lunghi corsi di formazione che, nei mesi successivi, vengono facilmente dimenticati.

Sotto il profilo più squisitamente tecnico, i device mobili dovranno conformarsi a parametri molto più stringenti degli attuali, quali:

  1. cifratura dei dati e delle applicazioni;
  2. considerato l’uso misto che viene sempre più spesso fatto dei dispositivi mobili, separazione rigorosa dei dati personali e dei dati aziendali, così da poter rapidamente eseguire la cancellazione di tutti i dati aziendali in caso di perdita o violazione del device mobile;
  3. accesso condizionale alle app, che dovranno essere previamente autorizzate dall’azienda (o, meglio, dal dipartimento IT) per evitare vulnerabilità non preventivabili o/o ingestibili dal titolare del trattamento;
  4. attenta gestione degli audit logs per poter sempre verificare chi ha fatto cosa: tale aspetto riveste importanza soprattutto per poter rispettare il termine di 72 ore imposto dal GDPR per informare l’Autority in caso di violazioni;
  5. implementazione degli strumenti di Data Loss Prevention, con l’adozione, se necessario, di procedure di wipe selettivo in caso di compromissione dei device mobili.

Nel corso del webinar è, stato, comunque, ribadito più volte come sia indispensabile elevare, a livello generale, la consapevolezza delle problematiche privacy in tutti coloro che gestiscono i dati all’interno dell’azienda, nonché di poter disporre di budget adeguati per implementare la mobile security, tenuto conto del fatto che la non conformità di un’azienda al GDPR costituisce un fattore negativo del business alla luce delle elevate sanzioni previste dal Regolamento in caso di sua violazione.

Per i vostri commenti, potete usare il form qui di seguito.

 

 

 

 

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy e contrassegnata con , , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!