Legge 25.326 sulla protezione dei dati personali in Argentina: cosa il vostro programma di Cybersecurity awareness deve poter dimostrare

Ilustración editorial de una carpeta de archivo abierta con fichas catalogadas, un sello de fechar y una lupa apoyados sobre el escritorio
Carla Caggiano Blog Nessun commento

Legge 25.326 sulla protezione dei dati personali in Argentina: cosa il vostro programma di Cybersecurity awareness deve poter dimostrare

La vostra organizzazione sarebbe in grado di mostrare, già da domani, cosa ha letto ciascun collaboratore in merito al trattamento dei dati personali, quando lo ha accettato e con quali credenziali? La Legge 25.326 argentina non si limita a chiedere la formazione del personale: chiede di poterla dimostrare. E tra una cosa e l’altra si apre uno spazio che molti programmi di Cybersecurity awareness scoprono soltanto quando arriva la prima notifica dell’autorità di controllo.

Lavoro nel governo, rischio e conformità, e quella è la prima domanda che faccio quando rivedo un programma di dati personali. Non mi interessa ripassare la legge in astratto, ma guardarla da dove diventa un rischio concreto per l’organizzazione: il momento in cui bisogna aprire l’archivio, mostrare l’evidenza e sostenere che il dovere è soddisfatto. Dal quadro normativo all’operatività, quindi: cosa chiede la 25.326, cosa si aspetta di vedere l’AAIP, cosa cambia con la riforma in discussione e, soprattutto, cosa deve registrare un programma di awareness per resistere a un’ispezione.

Cosa esige oggi la Legge 25.326 a chi forma il proprio personale?

La Legge 25.326 è il quadro che regola, in Argentina, la protezione integrale dei dati personali contenuti in archivi, registri, banche dati o altri mezzi di trattamento, pubblici o privati. È la legge che attua il diritto di habeas data dell’articolo 43 della Costituzione Nazionale, e la sua autorità di applicazione è l’Agenzia per l’Accesso all’Informazione Pubblica (AAIP), ai sensi degli articoli 29 e 30.

Sul piano dei doveri concreti, l’articolo 9 stabilisce che chi tratta dati personali deve adottare le misure tecniche e organizzative necessarie a garantire la sicurezza e la riservatezza dei dati, in modo da evitarne l’alterazione, la perdita, la consultazione o il trattamento non autorizzati. La formula conta, e dal punto di vista del governo si legge con attenzione: la legge non si è accontentata di misure tecniche. Ha richiesto, sullo stesso piano, misure organizzative. Dentro quel secondo blocco vive tutto ciò che apportano una politica interna, un programma di awareness e una formazione efficace. Nella pratica di qualsiasi framework di gestione, quello è un controllo, e i controlli si gestiscono, si misurano e si evidenziano.

L’articolo 10 aggiunge il dovere di riservatezza: i responsabili e chiunque intervenga in qualsiasi fase del trattamento sono tenuti al segreto professionale, obbligo che sussiste anche dopo la fine del rapporto con il titolare dell’archivio. Quella frase ha una conseguenza operativa che molti programmi trascurano: il dovere non si spegne il giorno in cui il collaboratore se ne va. Se la formazione non ha coperto quel punto e non è rimasta registrata, l’organizzazione resta senza modo di provare di averlo comunicato.

La normativa attuativa dell’autorità di applicazione viene precisando cosa si intende per “misure tecniche e organizzative” dell’articolo 9: la designazione di un responsabile interno, la documentazione delle politiche, i controlli di accesso e la formazione periodica del personale. L’AAIP non inventa quei requisiti. Li deriva dallo stesso articolo 9 e li rende esigibili in sede amministrativa. Per chi gestisce la conformità, sono gli stessi controlli che qualsiasi framework di sicurezza delle informazioni riconosce come basilari.

La distanza tra rispettare la legge e poterlo dimostrare

Conviene esplicitare un punto prima di proseguire, perché è lì che molti programmi si disfano: rispettare la Legge 25.326 è una cosa, poterlo dimostrare è un’altra. La differenza sembra sottile. In un audit o in un’ispezione è quella che decide se tutto si chiude con un verbale favorevole o con un fascicolo aperto.

La legge non dettaglia come si prova la conformità, perché ciò appartiene all’attività probatoria generale dell’organizzazione. Ma il regime sanzionatorio dell’articolo 31 (ammonizioni, multe, sospensioni, chiusure) opera, per definizione, su fatti che vanno dimostrati. Senza evidenza, la conformità è un’affermazione. Con evidenza, è un fatto che si può sostenere davanti all’organo di controllo. Chi viene dal mondo della gestione del rischio conosce bene quella distanza: un controllo che esiste ma non lascia traccia è, a fini pratici, un controllo che non si può auditare.

Per un programma di awareness questo significa che ogni azione formativa, ogni politica accettata e ogni promemoria inviato devono lasciare una traccia verificabile. Non basta che il collaboratore abbia ricevuto il corso. Serve sapere chi, quando, quale versione del contenuto e con quali credenziali lo ha ricevuto. La domanda operativa, allora, smette di essere “abbiamo formato il personale?” e diventa “cosa possiamo esportare il giorno in cui l’autorità ce lo chiede?”.

Dettaglio dall'alto di schede d'archivio impilate con etichette colorate e una striscia con timbro temporale tra due schede

Cosa deve registrare il vostro programma per resistere a un’ispezione dell’AAIP?

Le ispezioni e gli audit che finiscono bene sono quelli costruiti su un insieme ridotto ma solido di registri. Questi sono i sei che, nella mia esperienza di gestione della conformità, ogni programma di Cybersecurity awareness dovrebbe avere a disposizione per un’autorità di controllo:

  1. Accettazione verificabile della politica di trattamento dei dati personali. Non la firma generica all’ingresso in azienda, ma l’accettazione espressa, datata e legata all’utente, della politica specifica in vigore al momento della lettura. Se la politica è stata aggiornata, il registro deve poter identificare contro quale versione è stato prestato il consenso.

  2. Attestazione di formazione con data, contenuto e autenticazione. Un’attestazione generica (“ha svolto il corso di protezione dei dati”) è debole. L’attestazione solida indica la versione del modulo, la data di inizio e di fine, la durata effettiva e l’identificazione del collaboratore tramite credenziali aziendali, non per autodichiarazione.

  3. Registro di superamento, non solo di presenza. Ai fini dell’articolo 9 conta che il contenuto sia stato compreso, non che il collaboratore abbia aperto il corso. L’evidenza pertinente include il risultato di una valutazione (questionario, simulazione o equivalente) con una soglia di superamento documentata.

  4. Tracciabilità degli aggiornamenti della politica e del programma. L’AAIP può chiedere quando è stato inserito nel programma un determinato dovere (per esempio la cifratura delle basi o la segnalazione interna degli incidenti) e da quale data ciascun collaboratore era tenuto a conoscerlo. Senza uno storico versionato, quella domanda resta senza risposta.

  5. Evidenza della comunicazione degli obblighi successivi alla fine del rapporto. L’articolo 10 stabilisce che il dovere di riservatezza sussiste dopo la fine del rapporto. La buona pratica è comunicare quel dovere espressamente, registrarlo e conservare l’attestazione per il termine di prescrizione applicabile.

  6. Documentazione del responsabile interno che coordina il programma. Atto di designazione, ambito della funzione, criteri in base ai quali approva la politica e firma sui deliverable. L’AAIP si rivolge di solito a una persona concreta, e la domanda di chi risponde del programma non si può risolvere sul momento.

L’elenco non è tassativo, e il peso relativo di ciascun punto varia a seconda del settore dell’organizzazione (finanziario, sanità, retail, pubblico), delle dimensioni e della sensibilità dei dati trattati. Ma nessun programma serio può prescindere da tutti e sei insieme.

E se il vostro programma dimostra solo che il collaboratore ha aperto il corso?

Immaginiamo uno scenario frequente. Un’organizzazione subisce un incidente: viene divulgata una base con dati personali di clienti. La denuncia arriva all’AAIP. L’autorità chiede, tra le altre cose, l’evidenza della formazione ricevuta dal personale con accesso a quella base. L’organizzazione fornisce un elenco: “tutti i collaboratori hanno svolto il corso di protezione dei dati”. L’AAIP chiede il dettaglio. Il sistema registra solo click di apertura.

Quello scenario illustra una carenza ricorrente. Ciò che prova un click di apertura è che il collaboratore, a un certo punto, ha avuto accesso alla risorsa. Non prova che l’abbia letta, né che l’abbia compresa, né che la versione a cui ha avuto accesso contenesse il punto in questione. Davanti a un’autorità di controllo, un’evidenza così esile raramente basta, e lascia l’organizzazione nella posizione più scomoda di qualsiasi processo di conformità: avere il controllo ma non poterlo mostrare.

A questo si aggiunge un elemento da gestire fin dalla progettazione: l’integrità dell’evidenza del registro di formazione. Ciò che è in gioco è poter dimostrare che il registro non è stato modificato dopo la generazione, che la sua data è autentica e che l’attribuzione al collaboratore è integra. Un foglio di calcolo modificabile a mano non soddisfa quello standard. Un registro generato da un sistema con timbro temporale, identificazione dell’utente e log di accesso, sì. Quella differenza, che sembra tecnica, è in realtà di governo: definisce quanto vale la vostra evidenza il giorno in cui qualcuno la mette in discussione.

Nel regime dell’articolo 31, l’ammonizione è il gradino più lieve e le multe e le chiusure i più severi. L’intensità della sanzione risponde alla gravità della condotta, ma anche al grado di diligenza che l’organizzazione riesce a provare. Avere un’evidenza solida è, in termini di gestione del rischio, il principale fattore di mitigazione davanti all’organo di controllo.

Cosa cambia con la riforma pendente della 25.326?

La Legge 25.326 è stata approvata nel 2000 e, da allora, ha attraversato riforme regolamentari successive. Negli ultimi anni, i progetti di riforma entrati in Parlamento puntano ad avvicinare il regime argentino agli standard contemporanei, in particolare al Regolamento Generale sulla Protezione dei Dati europeo (GDPR). Finché l’approvazione definitiva non si concretizza, la cosa prudente è leggere il dibattito come una tabella di marcia di ciò che l’AAIP inizierà a esigere quando il testo entrerà in vigore.

Tra gli assi che quel dibattito lascia intravedere, quattro toccano direttamente un programma di awareness:

  • Rafforzamento del regime sanzionatorio, con multe scaglionate in funzione del fatturato dell’organizzazione (logica GDPR).
  • Figura del Responsabile della Protezione dei Dati (DPO) come ruolo formale nelle organizzazioni che trattano dati su larga scala, con funzioni precise in materia di formazione e supervisione interna.
  • Registro delle attività di trattamento documentato, che obbliga a mappare chi tratta quali dati, con quale finalità e sotto quali misure, e a poterlo mostrare all’autorità.
  • Notifica delle violazioni all’autorità e agli interessati in tempi brevi, il che valorizza la formazione preventiva del personale sulla rilevazione e la segnalazione interna degli incidenti.

La mia raccomandazione operativa è semplice: iniziare a registrare oggi come se la riforma fosse già in vigore. Le misure che la 25.326 esige sotto la formula ampia dell’articolo 9 sono, in gran parte, quelle che la riforma esigerà in modo esplicito. Anticiparsi non è sforzo perso: è il margine di tempo che l’organizzazione guadagna quando il testo viene pubblicato.

Come strutturare l’evidenza che la legge vi chiederà

Arrivati a questo punto, la domanda diventa operativa: come organizzare il programma perché l’evidenza esista, sia integra e sia disponibile in un tempo ragionevole? Il criterio che applico si riassume in un’idea: l’evidenza non si costruisce alla fine, si costruisce dalla progettazione.

Questo si traduce in tre mosse. Primo, integrare la registrazione nel flusso normale del programma: ogni lettura di politica, ogni completamento di modulo, ogni superamento di valutazione deve generare la propria attestazione automaticamente, senza azione aggiuntiva del collaboratore né del responsabile. Secondo, garantire l’integrità di quelle attestazioni: identificazione robusta del collaboratore, data verificabile e legame con la versione del contenuto in vigore al momento dell’azione. Terzo, conservare le attestazioni per il termine richiesto dalla prescrizione applicabile e poterle esportare in formato auditabile.

Piattaforme come SMARTFENSE sono progettate, per impostazione predefinita, con quella logica: ogni azione del collaboratore sul contenuto (lettura, accettazione, completamento, superamento) resta registrata con data, autenticazione dell’utente, versione della risorsa e tracciabilità delle modifiche. Per un responsabile della conformità in Argentina, questo smette di essere una caratteristica di prodotto e diventa la risposta operativa all’articolo 9 della Legge 25.326.

Vale la pena ricordare che il primo approfondimento di questo blog sulla Legge 25.326 ha percorso l’angolo della formazione come requisito normativo, complementare a quello che sviluppo qui. Chi cerca una visione più generale sull’articolazione tra quadro legale e programma di Cybersecurity awareness può consultare anche la riflessione sulla conformità normativa come impegno sostenuto e l’analisi sui profili psicologici e la loro ammissibilità legale. La sezione risorse di conformità raccoglie materiali aggiuntivi per responsabili di sicurezza e compliance officer.

A modo di conclusione

La Legge 25.326 è con noi da un quarto di secolo. In tutto questo tempo, la sua esigenza centrale, le misure tecniche e organizzative dell’articolo 9, è rimasta quasi invariata. Ciò che è cambiato, e parecchio, è il livello di evidenza che l’autorità si aspetta di vedere per considerare soddisfatto quel dovere. Un programma di awareness che nel 2005 sopravviveva con un foglio presenze, oggi resta corto.

La domanda che vale la pena portarsi a casa non è se l’organizzazione rispetta la 25.326. È se potrebbe dimostrarlo domani davanti a un’ispezione dell’AAIP. Se la risposta richiede uno sforzo di ricostruzione, conviene anticiparsi: la riforma in discussione non allenterà lo standard di evidenza, lo irrigidirà. E per chi gestisce il rischio, tutto questo non finisce con la sanzione evitata. Un programma che prova ciò che fa sostiene la fiducia di clienti, autorità e direzione, e quella fiducia è, in fondo, una condizione della continuità del business.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Tag Articolo :
Carla Caggiano, autora del blog SMARTFENSE

Carla Caggiano

Ejecutiva en Gobierno, Riesgo y Cumplimiento (GRC), Seguridad de la Información y Continuidad del Negocio, con más de 8 años liderando equipos y proyectos en banca, salud y tecnología. Diseña e implementa marcos basados en ISO 27001, ISO 22301 e ISO 31000, y traduce regulaciones complejas (SOX, NIST, GDPR, DORA, COBIT) en soluciones aplicables y sostenibles.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

awareness bec buone pratiche cambiamento comportamentale campagna di simulazione di phishing ciso consigli contenuti Cybersecurity awareness gamification ingegneria sociale phishing ransomware Sicurezza informatica smartfense

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo