Il gdpr è entrato in vigore dal 25 maggio 2018. Si può con contezza affermare che la maggior parte delle pmi italiane si definisce in regola con la nuova normativa, ma poche di queste sono effettivamente adeguate. Il regolamento Gdpr (General Data Protection Regulation, regolamento europeo numero 2016/679) si basa su alcuni principi fondamentali che coinvolgono non solo la protezione dei dati sensibili, bensì l’organizzazione e l’organigramma aziendale e la sicurezza informatica.
-Privacy by design e Privacy by default
-Accountability
-Gdpr e sicurezza informatica
-Privacy by design e Privacy by default
La logica che sottende il Gdpr si basa sul non fonire regole precise da seguire in quanto ogni struttura ha il compito di definire al suo interno un sistema di tutela dei dati che venga disegnato ed organizzato in base alla tipologia di attività svolta e di dati trattati. La privacy by design e by default quindi si baserà su un attento esame dei processi aziendali al fine di instaurare processi che sin dal primo contatto proteggano i dati personali degli utenti. Il titolare del trattamento deve individuare ed attivare le misure tecniche ed organizzative atte a mettere in sicurezza i dati di cui è in possesso e fare in modo che l’applicazione di tali strumenti avvenga in modalità automatica ogni volta che un dato viene trattato.
Prendiamo il caso ad esempio di uno studio legale che, alla sottoscrizione del mandato, raccolga il documento di identità, i recapiti mail e telefonici, i dati bancari e reddituali dell’assistito. La privacy by design e by default consentirà di conservare i dati in maniera sicura, digitalizzati e criptati, pseudonomizzati (identificati ad esempio con un numero progressivo sul fascicolo relativo e non con l’indicazione cognome/cognome delle parti) e così via secondo una procedura “di default” prevista dal registro del trattamento dei dati personali dello studio stesso.
-Accountability
L’adozione della privacy by design e by default comporta l’adeguamento ,inoltre, all’altro principio fondamentale del Gdpr, ovvero l’Accountability. La traduzione precisa del termine dall’inglese ci riporta ai concetti di responsabilizzazione e di valutazione dei rischi in ottica costi/benefici. Nella trasposizione nell’ordinamento italiano al concetto di responsabilizzazione si aggiunge quello di rendicontazione, ovvero la disponibilità all’interno del registro dei trattamenti di una reportistica che dia conto del perché sono state fatte determinate scelte piuttosto che altre. In termini pratici possiamo prendere l’esempio di una struttura sanitaria che per tutelare i dati personali dei suoi pazienti si trova ad adottare una linea di ristrutturazione dei sistemi informativi aziendali (un nuovo firewall, la migrazione su un server cloud, l’acquisto di un nuovo gestionale, il blocco delle porte usb, la criptazione dei dati e così via.) L’insieme di queste best practices e nuovi strumenti non potrà evidentemente essere messa in atto in un unico momento, sia in termini procedurali che di budget, ma potrà essere registrata e messa a verbale in termini di allocazione di risorse economiche e di step temporali così da rispettare il principio di accountability ed essere in grado di rispondere a domande quali: perché è stato scelto un firewall piuttosto che un altro? Che tipo di back up si è preferito e perché? Che tipo di formazione è stata fatta ai collaboratori e ai responsabili del trattamento? Per quanto tempo vengono conservati i dati e perché? Come vengono cancellati?
-Gdpr e sicurezza informatica
L’adozione di strategie di sicurezza informatica significa di per sé ottemperare al Gdpr. Questo concetto va considerato non solo nell’ottica di evitare le sanzioni ma anche, e si potrebbe dire soprattutto, di ridurre il rischio di perdita delle informazioni vitali per l’azienda. I casi di data breach sono ormai all’ordine del giorno e le conseguenze vengono spesso ignorate perché non se ne comprendono i costi per l’azienda. Qualunque attività colpita da un cryptolocker si troverà a scegliere tra rimanere bloccata per giorni, pagare in bitcoin il riscatto dei propri dati o attivare una sana procedura di disaster recovery per installare il back up più recente…sempre che ne sia in possesso. Allo stesso modo un data breach sul server mail fisico nell’antibagno provocherà la messa in blacklist dell’ip , con conseguente blocco delle mail in uscita, una saturazione della banda della connettività e anche qui un rallentamento sostanziale se non un blocco totale dell’attività aziendale. Si tratta di casi che si verificano quotidianamente in aziende di piccole dimensioni, studi professionali, negozi cioè nelle strutture che oggi sono più vulnerabili. A queste considerazioni va aggiunto che il data breach andrebbe segnalato al Garante entro 48 ore dalla consapevolezza del fatto, e se ciò non avviene si rischia di incappare in sanzioni più pesanti, e reportizzato nel registro del trattamento dei dati. Se la sicurezza informatica al 100% tuttavia non è possibile, molto si può fare per limitare i danni che un data breach può comportare all’azienda e ai dati degli interessati in suo possesso partendo dalla consapevolezza e dalla valutazione dei rischi, dall’adozione di livelli di sicurezza fondamentali e dalla indispensabile formazione dei collaboratori.
