Stiamo calmi, è solo il GDPR
Prima di iniziare con il suggerirti qualche consiglio pratico per gestire il GDPR, iniziamo subito con il dire chi è “il responsabile” dei dati: indipendentemente che la figura preposta per gestire la conformità al GDPR sia all’interno dell’azienda o che sia affidata a società esterne, il Responsabile è il Titolare.
Chiarito questo, iniziamo e cerchiamo di capire insieme quanto sei a rischio e come muoversi di conseguenza.
Come prima cosa, responsabilizzazione del titolare del trattamento, che deve effettuare la raccolta dei dati in modo lecito, corretto e trasparente.
Inizia con il verificare quali dati personali(1) tratti in azienda, a partire dai dati dei tuoi dipendenti (come ad esempio le buste paga), o mail di clienti e fornitori. A seguito di un controllo dovrai dimostrare di sapere dove si trovano e se fai periodicamente un controllo degli stessi. Dovrei anche “spiegare” come tratti i dati sensibili in tuo possesso(2).
[(1) La definizione di “dato personale” è presente nell’articolo 4 e stabilisce l’oggetto del regolamento: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, economica, culturale o sociale.
(2) “Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.]
Inoltre, con l’introduzione del concetto di “accountability” da parte del GDPR (tradotto in italiano “responsabilizzazione”), il titolare del trattamento mette in atto tutte le misure necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l’utilizzo dei dati siano conformi alle nuove regole. Il nuovo regolamento non fornisce indicazioni a riguardo ma indica che l’approccio dovrà essere valutato caso per caso, tenendo in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento.
In questo scenario di incertezza, suggeriamo ai titolari di iniziare con una diffusione capillare della cultura della privacy e della sicurezza dei dati a tutti i collaboratori. Ovviamente tutto questo, andrà “documentato” e disponibile a seguito di un controllo.
Identifica, analizza e gestisci i rischi
Ricerca le fonti di rischio. Ad esempio un collaboratore non correttamente informato, la tua protezione contro eventuali attacchi informatici o la sottrazione fisica dei tuoi apparati che porterebbero ad una perdita dei dati in tuo possesso. Una volta trovate le fonti di rischio, valuta la probabilità con cui tali rischi potrebbero realizzarsi e che impatto avrebbero all’interno della tua struttura.
Una volta fatta questa prima valutazione, verifica se è necessario introdurre nuove infrastrutture informatiche per garantire maggiore sicurezza. Può capitare che il rischio sia dovuto da una inesatta, incompleta o omessa informativa sui dati in fase di acquisizione. In questo caso, sarà sufficiente adempiere agli obblighi inerenti alla normativa a protezione dei dati personali ed il fattore di rischio cesserà di esistere.
Il GDPR richiede che si facciano delle valutazioni interne documentate relative all’impatto di rischio, sulla base dei sistemi esistenti.
Verifica periodicamente se il sistema di backup funzioni correttamente e se questo può segnalarti eventuali guasti o manomissioni. Il backup dei dati è fondamentale, da eseguirsi almeno una volta al giorno. Altrettanto importante è sapere se vi siano guasti o manomissioni al suo interno. Se per di più eseguiamo l’accesso tramite password ed i dati contenuti non sono “in chiaro”, la cosa va ancora meglio.
Verifica che sui PC installati presso la tua azienda sia installato un antivirus funzionante ed aggiornato. Partiamo almeno con le basi. Un antivirus è il minimo sindacale, che però andrebbe supportato almeno da un firewall di qualità.
Verifica che sui PC aziendali sia installato un sistema operativo supportato dal produttore e che sia aggiornato con le ultime correzioni in ambito di sicurezza. Qui di seguito riportiamo una breve tabella riassuntiva dei sistemi Windows.
SISTEMA OPERATIVO | SERVICE PACK O AGGIORNAMENTO PIU’ RECENTE | FINE DEL SUPPORTO MAINSTREAM | FINE DEL SUPPORTO EXTENDED |
---|---|---|---|
WINDOWS XP | Service Pack 3 | 14 Aprile 2009 | 8 Aprile 2014 |
WINDOWS VISTA | Service Pack 2 | 10 Aprile 2012 | 11 Aprile 2017 |
WINDOWS 7 | Service Pack 1 | 13 gennaio 2015 | 14 Gennaio 2020 |
WINDOWS 8 | Windows 8.1 | 9 Gennaio 2018 | 10 Gennaio 2023 |
WINDOWS 10, rilasciato nel luglio 2015 | N/D | 13 Ottobre 2020 | 14 Ottobre 2025 |
Ma quali domande ci possono essere fatte dall’autorità di controllo?
Dobbiamo essere in grado di rispondere a varie richieste tra cui, per esempio, dove sono i dati, che valutazione del rischio è stata fatta, poter esibire un report in cui sia ben chiaro dove sono archiviati i dati ed in che modo sono stati tracciati. Dobbiamo poter dimostrare che i dati in nostro possesso sono stati ottenuti in base alle disposizioni di legge e con il consenso informativo degli interessati. Saremo in grado di dimostrare che le persone coinvolte al trattamento dei dati hanno ottenuto un’autorizzazione scritta da parte del responsabile incaricato.
Forniremo inoltre un registro degli eventuali incidenti (perdita, distruzione, sottrazione).
Bisogna inoltre far capire alla controparte che sappiamo cosa è un dato, come controlliamo i diritti di accesso, come gestiamo la duplicazione ed il diritto all’oblio.
Speriamo con questo articolo di avervi chiarito un po’ le idee e avervi dato qualche spunto di riflessione. Ovviamente non costituisce una guida per il conseguimento della conformità rispetto al GDPR ma vuole essere una fonte di informazione, come ogni altro nostro articolo a riguardo. Per qualunque domanda o approfondimento contattaci ed analizzeremo insieme il tuo caso.