In rassegna
Swissmedic attua la nuova legislazione La protezione dei dati e la sicurezza delle informazioni hanno la priorità assoluta
Swissmedic è consapevole della propria responsabilità verso le informazioni che le vengono affidate. Una protezione dei dati affidabile e una solida sicurezza delle informazioni sono quindi imprescindibili per questa autorità agile e incentrata sui dati. Che approccio ha adottato Swissmedic per attuare la nuova legislazione in materia di protezione dei dati e sicurezza delle informazioni?
Il 1° settembre 2023 è entrata in vigore in Svizzera la revisione totale della legge sulla protezione dei dati (LPD), con l’obiettivo di migliorare la protezione dei dati, aumentare la trasparenza nell’ambito della raccolta e del trattamento dei dati e rafforzare il diritto dei cittadini all’autodeterminazione informativa. «Il nuovo testo tiene conto delle mutate condizioni quadro e degli sviluppi a livello tecnologico e sociale e tratta le sfide poste dal crescente utilizzo di soluzioni digitali», afferma Helga Horisberger, responsabile del Settore giuridico e membro della Direzione di Swissmedic. «Per l’attuazione delle nuove disposizioni abbiamo adottato un approccio conforme alla legge ma il più possibile pragmatico», spiega. «In tale contesto Swissmedic – in quanto autorità federale – è soggetta a requisiti più severi rispetto ad esempio alle aziende private, il che rende tutto molto più complesso.»
L’attuazione tecnica di misure adeguate è importante tanto quanto la sensibilizzazione di tutti i collaboratori. In questo modo si garantisce che vengano raccolti e memorizzati solo i dati realmente necessari – niente di più, niente di meno. «La principale minaccia per la protezione dei dati non risiede infatti nella digitalizzazione, ma nelle singole persone», chiarisce l’esperta. «Il comportamento e le decisioni individuali minimizzano i rischi in materia di protezione dei dati – o li aumentano.»
Trasparenza e controllo
Per attuare gli adeguamenti, Swissmedic ha esaminato e affinato le proprie pratiche di protezione dei dati. A tal fine sono stati elaborati una policy e un piano per la protezione dei dati. Questi documenti di base servono a chiarire gli aspetti organizzativi e tecnici nonché a descrivere procedure e processi. Inoltre definiscono i diritti e gli obblighi di tutti i collaboratori interni ed esterni di ciascun settore in relazione al trattamento di dati personali. Swissmedic ha nominato un interlocutore interno per tutte le questioni relative alla protezione dei dati e come persona di contatto per l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Si tengono regolarmente incontri tra i responsabili della protezione dei dati delle varie divisioni nonché corsi di formazione per i collaboratori.
Gli adeguamenti apportati alla LPD mirano ad allineare la Svizzera agli standard internazionali e in particolare al diritto europeo in materia di protezione dei dati. Questo è stato di importanza fondamentale per il riconoscimento del livello di protezione dei dati della Svizzera da parte dell’UE, che è avvenuto nel dicembre 2023.
Focus sui diritti della personalità
Tra le novità importanti troviamo i principi della «Privacy by Design» (protezione dei dati sin dalla progettazione) e della «Privacy by Default» (protezione dei dati mediante appropriate impostazioni predefinite), che garantiscono che la protezione dei dati sia già presa in considerazione nell’ambito della pianificazione del trattamento dei dati. La legge introduce inoltre l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA), soprattutto se l’utilizzo di nuove tecnologie per il trattamento su grande scala di dati personali degni di particolare protezione comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata. In questo modo si intendono riconoscere e minimizzare i rischi per i diritti della personalità degli interessati. Se necessario, Swissmedic deve consultare l’IFPDT, ad esempio qualora sia previsto un nuovo progetto di digitalizzazione che potrebbe comportare il rischio che vengano raccolti e memorizzati dati personali non necessari al diretto adempimento del compito. In alcuni casi è necessario redigere regolamenti sul trattamento che definiscano e standardizzino le modalità di raccolta, salvataggio, protezione, trasmissione e cancellazione dei dati personali.
Costante potenziamento della sicurezza delle informazioni
L’obiettivo principale della sicurezza delle informazioni è proteggere tutte le informazioni rilevanti di un’organizzazione da accessi non autorizzati, perdite o modifiche non autorizzate. «Per esprimerlo in termini tecnici, occorre garantire i seguenti obiettivi di protezione: riservatezza, integrità, disponibilità e tracciabilità», afferma Daniel Leuenberger, responsabile del settore Infrastruttura e membro della Direzione. In alcuni casi si tratta anche di questioni molto pratiche, come la prevenzione di danni a computer o sistemi di comunicazione.
La garanzia della conformità legale alla nuova LPD e l’ulteriore sviluppo della sicurezza delle informazioni richiedono attenzione e adeguamenti costanti per tenere il passo con le minacce in continua evoluzione. Ne sono un esempio gli attacchi di phishing condotti con l’aiuto dell’intelligenza artificiale. Utilizzando modelli linguistici di grandi dimensioni, i criminali informatici sono in grado di estrapolare con il minimo sforzo informazioni contestuali plausibili da attività mediatiche o da rapporti di gestione e di utilizzarle per creare «fake news» realistiche che sono difficilmente distinguibili dalle notizie reali.
Promuovere il senso di responsabilità per ridurre al minimo i rischi
Il 1° gennaio 2024 è entrata in vigore la legge sulla sicurezza delle informazioni (LSIn), che crea un quadro giuridico uniforme per la sicurezza delle informazioni a livello federale. Il documento va a colmare numerose lacune nella legislazione esistente e funge da base per un miglioramento sostenibile della sicurezza delle informazioni. Già prima dell’entrata in vigore della LSIn, Swissmedic – in quanto unità amministrativa decentrata della Confederazione – si era confrontata in modo approfondito con le nuove disposizioni e aveva definito con lungimiranza regole, procedure e misure per gestire, controllare, garantire e ottimizzare la sicurezza delle informazioni. «Per noi, in quanto autorità agile e incentrata sui dati, l’affidabilità è essenziale», afferma Daniel Leuenberger. «Nelle nuove disposizioni di legge, le misure atte a garantire la sicurezza delle informazioni sono viste come un sistema globale. Questo conferma la validità dei nostri sforzi volti a sviluppare costantemente e sistematicamente la sicurezza delle informazioni.»
In concreto Swissmedic ha già lanciato negli ultimi anni diversi progetti a tale riguardo. Di particolare rilevanza risultano in questo contesto la nuova posizione di Chief Information Security Officer (CISO) e il CISO-Office con i suoi due collaboratori, che garantisce il coordinamento, l’attuazione e la documentazione della sicurezza delle informazioni a livello dell’intera organizzazione. Un elemento fondamentale è la creazione di un valido sistema di gestione della sicurezza delle informazioni (SGSI) in conformità allo standard ISO/IEC 27001, che vada oltre i requisiti legali.
«In questo modo garantiamo che tutte le misure all’interno del sistema globale Swissmedic siano attuate in modo coordinato», spiega Clemens Chizzali-Bonfadin, CISO di Swissmedic. «Mentre prima la sicurezza delle informazioni era vista principalmente come una questione informatica, ora viene sempre più considerata come un compito a 360°.» Il sistema globale collega tra loro tutti i vari settori e si viene a creare una struttura di organizzazione della sicurezza che attraversa l’intera autorità Swissmedic. «La gestione dei rischi e la relativa responsabilità ricadono su chi ne subisce gli effetti», spiega Clemens Chizzali- Bonfadin. In altre parole: i team che sono direttamente interessati da un certo rischio si assumono anche la responsabilità di gestirlo. Loro sono infatti nella posizione migliore per comprendere gli effetti che ne derivano e adottare misure volte a ridurli. Ciò significa anche che i responsabili delle applicazioni o dei processi aziendali redigono autonomamente la documentazione di sicurezza relativa agli oggetti da proteggere, con il supporto del CISO-Office.
Il recente progetto finalizzato all’introduzione del sistema di gestione della sicurezza delle informazioni (SGSI) presso Swissmedic è stato completato nel giugno 2023. Ora si tratta di apportare continui miglioramenti e adeguamenti sulla base delle condizioni quadro attuali. L’inventariazione di tutti gli oggetti da proteggere, come le varie applicazioni, nonché le analisi periodiche dei rischi e le revisioni della documentazione relativa alla protezione rientrano nel SGSI tanto quanto la formazione ricorrente dei collaboratori. Nel marzo 2024 è stata introdotta un’applicazione specializzata per supportare, standardizzare e automatizzare i processi e i documenti del SGSI.