Per gli internauti del Quebec, la legge 25 è da molti mesi sinonimo di finestre “pop-up” che chiedono il loro consenso. Per le aziende, questo è spesso un grattacapo. Una manciata di loro si adeguerebbe e la maggioranza non ha intenzione di farlo. Tuttavia, sostengono gli esperti, sono disponibili risorse e semplici guide per domare questa legge complessa.
Inserito alle 1:52
Aggiornato alle 6:00
3%
Secondo un sondaggio condotto nel giugno 2023 dall’Interdisciplinary Cybersecurity Research Group (GRIC) dell’Università di Sherbrooke tra 100 PMI e NPO del Quebec, il 40% ha dichiarato di essere pronto per la Legge 25. In realtà, dopo l’analisi, appena il 3% erano. Lo scorso febbraio, un sondaggio condotto dalla società francese Axeptio è giunto a una conclusione simile, con il 5% delle aziende che potrebbero essere considerate conformi.
In tre fasi
IL Atto per modernizzare le disposizioni legislative in materia di protezione dei dati personalio Legge 25, adottata nel settembre 2021 e ispirata alla legislazione europea, prevede tre fasi, richiedendo ogni volta un po’ di più alle società che trattano dati personali.
Da settembre 2022, devono in particolare designare una persona responsabile della protezione di queste informazioni e segnalare qualsiasi incidente alla Commissione per l’accesso alle informazioni (CAI).
Nel settembre 2023 è stato implementato l’obbligo di rispettare le regole del consenso (da qui la comparsa di finestre sulla maggior parte dei siti web) e lo sviluppo di una “valutazione dei fattori relativi alla vita privata (EFVP)”.
L’ultimo passo, nel settembre 2024, riguarda il diritto alla “portabilità”, in base al quale ognuno può richiedere copia dei dati che lo riguardano.
La legge prevede sanzioni massime di 25 milioni.
Una valutazione difficile
Uno dei requisiti che sembra il più oneroso è la valutazione dei fattori legati alla privacy. Questo termine intimidatorio lo spiega l’ente preposto all’attuazione della legge 25, il CAI, in una guida di 60 pagine.
È proprio su questo obbligo che Emeline Manson, formatrice in prevenzione delle frodi e sicurezza informatica, ha deciso di lanciare uno strumento gratuito. In sostanza, l’EFVP deve essere redatto per qualsiasi azienda che offra servizi che coinvolgono informazioni personali o le comunichi al di fuori del Quebec.
FOTO DI MATHIEU CHEVALIER, FORNITA DA EMELINE MANSON
Emeline Manson, formatrice in prevenzione delle frodi e sicurezza informatica e presidente della società CY-clic
Lì abbiamo un’organizzazione che guarda a questo e dice a se stessa: “concretamente, cosa faccio domani mattina?” È scoraggiante, davvero scoraggiante.
Emeline Manson, formatrice in prevenzione delle frodi e sicurezza informatica e presidente della società CY-clic
Al formatore non piace il concetto di “compliance”, preferendo enfatizzare i comportamenti di sicurezza di un’azienda.
“Il nostro obiettivo è davvero renderlo meno grande, renderlo più divertente, più confortante, meno colpevole. È la reputazione della sicurezza informatica e del disegno di legge 25 ad essere attualmente molto colpevole. »
Piccoli passi
Secondo lei, si tratta soprattutto di fare il punto sulle informazioni personali che un’azienda gestisce, stabilire come vengono archiviate e adottare misure efficaci per proteggerle.
“La Commissione per l’accesso alle informazioni vuole avere la prova che almeno abbiamo posto la domanda. Se non lo documentiamo, se non è scritto da nessuna parte, è come se non ci avessimo pensato. Se la Commissione si rivolgerà a noi, dovremo essere in grado di dimostrare loro che abbiamo fatto questa valutazione, che abbiamo avuto questa riflessione, che abbiamo compiuto questo passo. »
Invece di terrorizzare le piccole e medie imprese con richieste insormontabili, MMe Manson dice di preferire il “metodo dei piccoli passi”. “Se vedi tutta la montagna, ti scoraggia e non fai nulla. È peggio che farlo a piccoli passi, farlo nel miglior modo possibile ed essere in grado di dimostrare che sei in un processo, che hai cercato di rispettarlo. »
Ampliare il dibattito
Per Nicolas Duguay, condirettore generale di In-Sec-M, un’organizzazione che riunisce i principali attori della sicurezza informatica, dobbiamo vedere il rispetto della Legge 25 in una prospettiva più ampia.
FOTO CATHERINE LEFEBVRE, COLLABORAZIONE SPECIALE ARCHIVI
Nicolas Duguay, co-direttore generale di In-Sec-M
Per anni, il governo del Quebec ha incoraggiato le organizzazioni private di tutte le dimensioni a digitalizzarsi, ma senza garantire la presenza di strutture di sicurezza informatica. Ciò spiega in particolare perché si registra un’esplosione degli attacchi informatici.
Nicolas Duguay, co-direttore generale di In-Sec-M
Invece di concentrarsi esclusivamente sul rispetto della legge 25, la sua organizzazione ha istituito un programma sovvenzionato dal Quebec, MaLoi25, integrando anche quella che viene chiamata “resilienza informatica”.
Finora, ammette, l’ascolto degli imprenditori è, diciamo, minimo.
«Sono chiamato a fare interventi, presentazioni, chiedo sistematicamente alla gente: “Chi ha sentito parlare della legge 25?” Ho sempre una minoranza di persone che alza la mano. C’è davvero un divario comunicativo. »
In attesa delle multe
MaLoi25 offre come punto di partenza un’autodiagnosi, base per un supporto offerto successivamente ad un prezzo che si annuncia “vantaggioso”. Se il signor Duguay non sa specificare cosa emerge dalle migliaia di autodiagnosi effettuate, fa questa osservazione generale: “È tipico, e non è solo in materia di protezione dei dati personali o di sicurezza informatica: c’è una forma di franchezza che osserviamo nelle aziende qui. Aspettiamo di vedere le sanzioni. Ho l’impressione che ci sarà un boom abbastanza consistente di richieste per la Legge 25, il giorno in cui entrerà in vigore La stampa, IL Giornale di Montreal o su Radio-Canada, vedremo che una società del genere è stata presa di mira dal governo del Quebec e multata. Che non è domani, ovviamente. »
