• Privacy -Tecnologie dell'informazione e della comunicazione (ICT)

16 luglio 2019

Irlanda: valutazione d’impatto sulla protezione dei dati, rilevante è tener conto delle fonti di informazione

L’Autorità garante per la protezione dei dati irlandese, Data Protection Commission (DPC), è responsabile per la protezione dei dati personali e, quindi, per l’idonea applicazione del GDPR e di altri quadri normativi, quali i Regolamenti irlandesi e-Privacy e Law Enforcement Directive (LED).

Numerosi sono i rischi potenziali che possono influire sulla sicurezza dei dati personali archiviati da un’organizzazione, per cui diventa necessario che all’atto della valutazione di impatto sulla protezione dei dati (DPIA), e soprattutto durante il vaglio delle misure di sicurezza da adottare, si faccia fede a idonee fonti di informazione. Questo perché è importante capire quali siano questi rischi e con che modalità ridurli al minimo, così da garantire che i dati raccolti siano elaborati e archiviati in modo sicuro e protetto.

Tra le fonti di informazione si riscontrano:

  • Linee guida per la protezione dei dati della Commissione per i titolari del trattamento in materia di sicurezza dei dati (Guidance for Controllers on Data Security). Infatti, i titolari del trattamento, sia nel pubblico che nel privato, detengono un quantitativo sempre crescente di dati, il quale deve essere gestito in sicurezza al fine di non cadere in possibili violazioni degli stessi. Dal momento che spesso accade che le varie organizzazioni esternalizzano a terzi l’elaborazione dei dati per proprio conto, in maniera anche manuale, con queste Linee Guida il proposito è di garantire che titolari e responsabili del trattamento agiscano nel rispetto degli obblighi e in relazione alla sicurezza dei dati personali che gli stessi elaborano.
  • National Cyber Security Centre (NCSC) – Rappresenta il braccio operativo del Department of Communications, Climate Action and Environment (DCCAE) ed è responsabile della consulenza ed informativa, in relazione a Enti governativi IT e Infrastrutture critiche Nazionali, rispetto alle attuali minacce e vulnerabilità associate alla sicurezza delle informazioni presenti in rete. Lo scopo del NCSC è dunque essere di supporto alla gestione delle principali violazioni sulla sicurezza informatica, fornendo assistenza e consulenza a cittadini e imprese, in particolare su quali siano le principali tipologie di incidenti di sicurezza informatica. Oltre a cercare di sviluppare forti relazione internazionali all’interno della comunità globale di sicurezza informatica per la condivisione delle informazioni.
  • I cosiddetti “12 Steps to Cyber Security”, ossia le Linee Guida sulla sicurezza informatica per le imprese irlandesi.
  • Garda National Cyber Crime Bureau (GNCCB), il cui compito è esaminare in termini forensi i supporti informatici sequestrati durante eventuali indagini penali, inerenti criminalità informatiche, molestie online, quindi, nello specifico, qualsiasi indagine criminale che coinvolga dispositivi elettronici per dati probatori, reati cibernetici, intrusioni nella rete, attacchi a siti governativi, istituzionali e aziendali.
  • Garda National Economic Crime Bureau (GNECB), il cui compito è di fornire un supporto specialistico su base nazionale e di essere una guida per gli investigatori nazionali in materia di frodi. Ha quindi un ruolo forense e investigativo, oltre ad essere elemento di collegamento con varie agenzie partner e forze dell'ordine.
  • European Union Agency for Cybersecurity (ENISA), il cui compito è contribuire attivamente alla politica europea in materia di sicurezza informatica a supporto degli Stati membri e delle parti interessare dell’UE, al fine di dare un’adeguata risposta al verificarsi di attacchi informatici su larga scala, anche a livello transfrontaliero.
  • Cyber Security Information Note, ossia fornisce informazioni inerenti alla protezione dagli attacchi informatici, le ricerche effettuate sul tema, esempi di tipologie di attacchi avvenuti, come si muovono i ricercatori sulla sicurezza informatica.
  • ENISA Threat Landscape, il cui compito è di fornire una panoramica sulle minacce, unite alle tendenze attuali ed emergenti. Effettua la sua valutazione sulla base di dati disponibili pubblicamente e offre una visione autonoma rispetto alle minacce visualizzate, ai relativi agenti di minaccia e tendenze. Il Threat Landscape del 2018 documenta le 15 principali minacce informatiche scoperte nel periodo che intercorre tra dicembre 2017 e dicembre 2018, ove il 2018 è visto come un anno di considerevoli cambiamenti nel panorama delle minacce informatiche (“cyberthreat”).
  • No More Ransom, sito in cui si definisce cosa è un “ransomware” e dove forniscono chiavi e applicazioni per decriptare un malware e difendersi da attacchi informatici. Il “ransomware” è un “malware che blocca il computer e i dispositivi mobili, oppure codifica i file elettronici contenuti nei dispositivi. Quando questo avviene, l’utente non può più accedere ai propri file e dati, a meno che non paghi un riscatto. In ogni caso il pagamento del riscatto non è una garanzia di riavere i propri dati e non si dovrebbe mai pagare!”.

La Commissione incoraggia le organizzazioni a consultare queste fonti e dare esecuzione alle relative misure di sicurezza, facendosi coadiuvare anche da una consulenza legale per adempiere adeguatamente agli obblighi previsti dalla normativa sulla protezione dei dati personali.