Il trattamento dei dati personali e la loro sicurezza
In questo articolo parleremo dell’importanza del trattamento dei dati personali e la loro sicurezza nel campo digitale, riportando in conclusione alcuni consigli da parte del Garante della Privacy che possono essere assunti facilmente da qualsiasi individuo.
Preme riflettere sul fatto che ormai, la sicurezza digitale è un argomento importante. La rete e i sistemi informativi giocano un ruolo fondamentale nella società e gli incidenti di sicurezza limitano o bloccano le attività economiche, affievolendo contemporaneamente la fiducia degli utenti e provocando danni ai diritti e alle libertà fondamentali. Per questo motivo, la sicurezza e la protezione dei dati sono strettamente connessi alla protezione e sicurezza delle reti e dei sistemi informativi. Gli incidenti di sicurezza sono esponenzialmente aumentati durante il periodo pandemico 2020-2021, rendendo così ancora più importante la necessità di un trattamento sicuro dei dati.
Prima di procedere oltre vediamo quali sono i dati considerati sensibili, dall’Articolo 4 comma 1 del Regolamento (UE) 2016/679 apprendiamo che vengono definiti sensibili tutte le informazioni che rivelano l’origine razziale ed etnica, le convinzioni filosofiche, religiose o di altro genere, le opinioni politiche, l’adesione a sindacati, partiti, associazioni od organizzazioni a carattere filosofico, religioso, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
L’Unione Europea: sicurezza della rete e dei sistemi informativi
Al fine di contrastare lo sviluppo del crimine informatico l’Unione Europea ha messo in atto diverse tattiche. Gli stati membri hanno dovuto elaborare “una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi” mediante l’azione di una rete di intervento per la sicurezza informatica (rete CSIRT), composta da operatori essenziali e fornitori di servizi digitali al fine di assicurare un adeguato monitoraggio ed un tempestivo intervento in caso di incidente di sicurezza. Tale strategia è una delle misure giuridiche proposte della Commissione Europea nella Direttiva UE 2016/1148 (conosciuta come Direttiva NIS in Italia).
Cos’è la direttiva NIS
La direttiva sulla sicurezza delle reti e dei sistemi informativi, nota anche come NIS, è il primo atto legislativo a livello europeo che concerne la sicurezza informatica. Prevede l’attuazione di misure giuridiche volte ad incrementare il livello generale di cybersicurezza nell’UE attraverso la cooperazione degli Stati membri. La direttiva NIS ha cambiato l’approccio istituzionale e normativo alla sicurezza informatica in molti Stati membri ottenendo diversi risultati.
Purtroppo però, come abbiamo già ricordato, la notevole trasformazione digitale della società ha ampliato il panorama delle minacce e sta introducendo nuove sfide, che richiedono risposte adeguate e innovative. Proprio per questo la Commissione ha presentato una nuova proposta legislativa, che mira a colmare le mancanze della precedente direttiva. Verrà introdotta la Direttiva NIS 2 con lo scopo di rafforzare il quadro della sicurezza cibernetica a livello europeo, rendendo maggiore la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime.
La NIS 2 si baserà su quattro principi chiave:
- Protezione dei dati personali;
- Diritti fondamentali;
- Safety;
- Cybersecurity.
Come ben sappiamo, i primi due punti si riferiscono ai diritti fondamentali dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione Europea. Ad oggi tali diritti sono tutelati dal Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016. Desideriamo concentrarci invece sugli ultimi due punti, introducendo il concetto di safety e di cybersecurity.
Safety nella normativa privacy
Quando parliamo di safety, cioè sicurezza, nell’ambito della normativa privacy ci riferiamo ad un insieme di accorgimenti volti ad eliminare i danni, in questo caso riguardanti i sistemi informatici. Dunque la safety rappresenta una serie di mezzi, tecnologie e procedure atte a proteggere i sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.
Cibersecurity nella normativa privacy
La cybersecurity è la difesa dei computer, server, dispositivi mobili, sistemi elettronici, reti e dati dagli attacchi dannosi.
Il principio fondamentale della cybersecurity è la sicurezza, che viene applicata a diversi ambiti:
- Sicurezza delle reti informatiche;
- Sicurezza delle applicazioni (come software e dispositivi);
- Protezione dei dati;
- Sicurezza delle operazioni: si riferisce alle autorizzazioni degli utenti e alla determinazione del modo o il luogo in cui vengono memorizzati i dati;
- Disaster recovery e business continuity: si tratta di due strategie fondamentali volte al ripristino delle informazioni perdute a seguito di un incidente informatico;
- Formazione degli utenti finali: è importante che ogni utente sia informato e consapevole dei possibili pericoli e di come affrontarli. L’insegnamento delle procedure di sicurezza, l’adozione di comportamenti volti alla sicurezza individuale e collettiva, sono essenziali al fine di prevenire incidenti spesso causati dalla disattenzione e disinformazione.
La sicurezza dei dati nella quotidianità
E’ bene ricordare che la sicurezza dei dati non va intesa come qualcosa di astratto o di collegato solo agli ambienti professionali o teorici. E’ un passo che sembra quasi scontato, ma è ancora oggi sottovalutato.
I dati personali fanno parte della nostra vita quotidiana, dell’individuo stesso. Essere consapevoli della loro importanza e della necessità di proteggerli è essenziale.
Abbiamo precedentemente affrontato il problema degli incidenti informatici e di come la Comunità Europea abbia introdotto direttivi e organi volti a contrastare e gestire le conseguenze date da essi. Ma come possiamo, concretamente e nella vita quotidiana, tutelare la nostra sicurezza? Esistono delle soluzioni da poter attuare senza dover ricorrere agli organi istituzionali?
A questo proposito è il Garante per la Privacy a venire in nostro soccorso tramite la stesura di un vademecum relativo all’elaborazione ed impostazione di password sicure, che vengono utilizzate dai singoli individui per diversi usi. Dalla protezione del proprio dispositivo mobile, all’accesso di dati sensibili sulle piattaforme bancarie, ecc.. Una guida ad hoc semplice ed intuitiva che vi proponiamo di seguito.
Per ottenere una password sicura sono tre i punti fondamentali dai quali il Garante intende partire: l’impostazione della password, la sua gestione e la sua conservazione.
Impostare una password sicura
Il garante suggerisce i criteri per impostare una password sicura:
- La lunghezza: una password sicura deve contenere almeno 8 caratteri, un consiglio del Garante sarebbe quello di aumentare il numero dei caratteri fino a 15 o intorno ad essi, per aumentarne la “robustezza”;
- La tipologia: spazio alla varietà. Nella creazione della nostra password sicura il Garante suggerisce l’utilizzo di diversi caratteri: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (vale a dire punti, underscore, trattini, ecc.);
- La difficoltà: una password sicura deve essere difficile da indovinare. Non deve quindi contenere riferimenti personali che riguardano l’interessato (nome, cognome, data di nascita, ecc.) e riferimenti al nome utente (come account, alias, username, id, ecc.);
- La “fantasia”: secondo il GPDP nell’impostare una password sicura è meglio non utilizzare parole di uso comune, meglio virare su parole inventate o interrotte da caratteri speciali, per renderle meno comuni. Questo perché esistono software programmati ad indovinare e rubare le password che, sistematicamente, elencano tutte le parole di uso comune al fine di trovare quella giusta. Questo consiglio può quindi aiutare a contrastarli;
- Cambio periodico: una password sicura dovrebbe, secondo il vademecum, essere modificata frequentemente. Specie per i profili più importanti e che vengono utilizzati più spesso (social network, e-mail, e-banking, ecc.).
Gestire una password sicura
Un altro passo importante è gestire bene le proprie password sicure. Utilizzare password diverse a seconda dei diversi account, può evitare il rischio che, qualora ne venga hackerato uno, anche gli altri profili a te appartenenti possano essere facilmente violati.
Un’altra importante raccomandazione è quella di NON usare le solite vecchie password, evitando quindi di impiegare password già impiegate in passato. Va ricordato inoltre che le password temporanee elaborate da un sistema o servizio informatico vanno immediatamente modificate, preferendone una personale.
Sistemi come i meccanismi di autenticazione multi fattore (codici OTP one-time password), possono essere d’aiuto per rafforzare la sicurezza della propria password sicure.
Conservare una password sicura
E’ fondamentale saper conservare adeguatamente le proprie password sicure. Una buona conservazione equivale a una maggiore sicurezza.
Per questo motivo il Garante consiglia le seguenti accortezze:
- È importante evitare di scrivere le password sicure su biglietti o fogli che vengono conservati e che si potrebbero lasciare in giro. Andrebbe evitato anche conservare le password in file non protetti presenti nel computer o nello smartphone.
- Non condividere le proprie password sicure tramite e-mail, sms, social network, instant messaging, ecc.. indipendentemente dalla conoscenza della persona a cui le password vengono comunicate, le credenziali potrebbero essere diffuse involontariamente a terzi o sottratte da malintenzionati.
- Se si utilizzano pc, smartphone o altri dispositivi non personali, è bene scongiurare il rischio che le tue password sicure possano essere conservate nella loro memoria.
Infine, il vademecum consiglia la possibilità di utilizzare i cosiddetti «gestori di password». Programmi specializzati nel generare password sicure che consentono di conservare in formato digitale tutte le password tramite il salvataggio in un database cifrato sicuro. Ne esistono di vari tipi, differenziandosi in gratuiti o a pagamento.
In definitiva è dunque possibile proteggersi tramite l’adozione di piccoli accorgimenti che possono essere fondamentali per la sicurezza individuale e allo stesso tempo collettiva.
A cura di Chiara e Stefania Sciacca