Cybersecurity e Compliance GDPR: il caso “Zoom”

Share on linkedin
Share on twitter
Share on facebook

Il distanziamento sociale da Coronavirus ci ha forzatamente costretti (quasi tutti) tra le mura domestiche per contenere il contagio e stiamo sperimentando (tutti) che moltissime attività, senza incidere sulla individuale produttività, possono essere realizzate da remoto.  Per gli enti (ancora pochi) che abbiano l’avvedutezza e la capacità di pianificare una strategia che sia effettivamente “smart” – che richiede di rimodulare ambiti di organizzazione, di competenza, di conformità e di sicurezza, anche informatica – è l’occasione per affinare un piano di smart working per migliorare l’operatività aziendale e la soddisfazione delle proprie persone.

Nel variegato panorama degli applicativi di web collaboration, suite di produttività e applicativi di web conference (solo di questi ultimi se ne contano una cinquantina) ce n’è una che è assurta repentinamente ad una popolarità vertiginosa.

E’ il caso ZOOM.  

Dai 10 milioni di utenti a fine 2019 è passata a oltre 200 milioni a fine marzo 2020 (nella sola settimana dal 26 marzo al 1 aprile 2020 oltre 3 milioni di download solo negli USA) in pochi mesi la californiana Zoom Video Communications ha raggiunto una capitalizzazione di Borsa di circa 32 miliardi di dollari (quanto American Airlines, Expedia e Hilton messe insieme).

Per quanto agevolato dal lockdown da coronavirus – e dalla corsa alle videoconferenze da parte di aziende, famiglie, scuole per qualsiasi cosa, dalle lauree ai matrimoni – un successo ed una popolarità di tali proporzioni non è casuale! 

Tra le numerose e varie app di videoconferenza (comprese quelle delle Big Company del digitale, Adobe Connect, Skype, Gotomeeting, Google Hangout, Slack, Cisco Webex Meetings, FreeConference, Microsoft Teams, Zoho, RingCentral Office, ClickMeeting , AnyMeeting , UberConference , BlueJeans, etc…) la gente ha scelto Zoom perché è semplice e, soprattutto, perché funziona bene.

A costi non dissimili da quelli praticati dai competitor, Zoom garantisce tutte le più appetibili funzionalità che si ritiene debbano corredare un buon software di web conference, la maggior parte delle quali sono disponibili anche nella versione gratuita. A ciò va aggiunto che il layout del prodotto risulta piuttosto intuitivo e facile da utilizzare nelle sue potenzialità, tale da apparire user friendly anche ai meno esperti e, inoltre, possiede alcune caratteristiche che rispecchiano l’ambiente dei social media.

Ma Zoom garantisce sicurezza? E’ GDPR compliant?

Quanto alla compliance al GDPR, Zoom aderisce al meccanismo del Privacy Shield, che permette alle società stabilite negli Stati Uniti di ricevere lecitamente i dati personali degli utenti europei, prevedendo nei propri termini d’utilizzo specifiche clausole di compliance in materia; ha messo a disposizione un “white paper” che descrive meticolosamente tutte le misure di sicurezza adottate; ha stilato un elenco dei propri fornitori; ha anche nominato un DPO (Data Protection Officer);  ha redatto una nuova Privacy Policy per gli utenti UE, nella quale appaiono formalmente rispettati i requisiti di conformità al GDPR anche in relazione al termine di conservazione dei dati ed ai diritti degli interessati.

Quanto alla sicurezza va registrato che l’impennata di popolarità ha fatto emergere alcuni limiti strutturali e tecnici che, come prevedibile, sono stati ampiamente evidenziati e pubblicizzati in rete e sui media.

Tuttavia, deve osservarsi che la compagnia californiana ha dato prova di una capacità reattiva in tempi assai rapidi, risolvendo con speditezza le problematiche via via oggetto di critica (alcune, peraltro, addebitabili a terzi) e ciò induce a confidare sul fatto che con altrettanta prontezza potranno essere risolte eventuali future criticità che dovessero emergere (a differenza di quanto spesso accade per altre ben più blasonate compagnie).

Attualmente, sembrerebbe che tutte le criticità siano state risolte – tant’è che gli stessi critici fanno leva sulle problematiche (ormai) passate per orientare la scelta degli utenti su altri prodotti storicamente più affidabili – ed è stato già annunciato che nella release di fine aprile 2020 l’app Zoom adotterà una crittografia AES a 256 bit (algoritmo di crittografia simmetrica certificato dal National Institute of Standards and Technology degli USA come misura sicura e praticabile per salvaguardare i dati), la stessa ad oggi utilizzata da governi e forze armate di tutto il mondo per proteggere le informazioni nazionali confidenziali.

Ma qualsiasi discorso sulla sicurezza di uno strumento tecnologico o, ancor più, digitale non può prescindere dal noto assioma secondo cui il rischio zero non esiste.  

Dunque, è sull’uso accorto di uno strumento, piuttosto che solo sulla sua sicurezza in sé, che dovremmo focalizzare la nostra prudente attenzione.

Virus, spyware, malware, ransomware, trojan, hacking sono spesso considerati i rischi maggiori per la cyber security, così come la presenza di back door o la mancanza di crittografia (simmetrica, asimmetrica, end-to-end…); tuttavia, la Cyber Security Breaches Survey 2020 del governo Britannico conferma ciò che viene sostenuto a gran voce da molto tempo: i rischi maggiori derivano da inconsapevolezza, mancata vigilanza, disattenzione e errore umano.

È sulla formazione delle persone che in gran parte si gioca la partita della sicurezza delle informazioni e dei dati personali!

Vuoi saperne di più?

Scopri tutti gli approfondimenti tematici disponibili. Approfittane subito!

Vuoi saperne di più sulla compliance?

Nell’area riservata trovi tanti vantaggi esclusivi
Michele Centrone

Michele Centrone

Avvocato del Foro di Roma con ultra ventennale esperienza nel contenzioso giudiziario in ambito del diritto civile, societario, lavoro e famiglia. Formato “Auditor 231, Componente OdV 231 e Specialista 231”. Cultore della materia in ambito Privacy e GDPR. Cura la progettazione, l’implementazione e l’aggiornamento di sistemi di controllo interno in materia di Responsabilità Amministrativa degli Enti, Anticorruzione e Protezione dei dati personali (GDPR). È Professional presso PK Consulting S.r.l. e Probitas S.r.l..

Iscriviti a Portale 231

Il portale di riferimento della compliance in Italia

Iscriviti alla Newsletter

Aprile: 2020
L M M G V S D
 12345
6789101112
13141516171819
20212223242526
27282930  

Articoli correlati

Mettiti alla prova!
Quanto ne sai
di compliance?

Fai il test per scoprirlo subito

Torna su