Sono trascorsi ormai quasi due anni dall’effettiva applicabilità del Regolamento europeo in materia di protezione dei dati (GDPR) e il bilancio delle sanzioni applicate dalle Autorità in ambito europeo ammonta alla cifra non trascurabile di 114 milioni di euro (https://www.punto-informatico.it/gdpr-multe-114-milioni-euro/)
In Italia fino ad oggi le sanzioni comminate si erano limitate a casi eclatanti che coinvolgevano grandi compagnie come ENI GAS E LUCE (EGL) per le attività di telemarketing e attivazione di contratti non richiesti, o al celebre caso alla piattaforma di e-voting ROUSSEAU.
Da oggi però, le cose cambieranno, e a diventare oggetto dei controlli saranno anche le piccole aziende di cui è disseminato il nostro territorio. Verranno prese in considerazione non solo le attività di schedulazione dei dati di terzi e il modo in cui vengono trattati dalle aziende, ma anche l’utilizzo che ogni azienda fa dei propri dati, e la propria capacità di tenerli al sicuro, di evitare intrusioni, perdita o dispersione di dati sensibili. In poche parole bisognerà dimostrare di aver messo in atto tutte le strategie tecnologiche a disposizione per garantire la sicurezza dei dati.
Le soluzioni informatiche a disposizione delle aziende per fortuna oggi sono molte, ed è possibile ideare la strategia informatica di data protection più adeguata al tipo di attività svolta.
Riassumendo le principali aree di intervento informatico, ogni azienda dovrà essere in grado di:
Dimostrare di far accedere ai dati sensibili solamente il personale addetto a tale trattamento, utilizzando password adeguate e sistemi di tracciabilità degli accessi ai dispositivi in funzione del grado di autorizzazione (accountability)
Dimostrare di possedere un sistema adeguato ad arginare le intrusioni esterne nei propri sistemi (data breach): antivirus, firewall, sistemi di criptatura di eventuali dati in uscita
Dimostrare di avere una copia sicura dei propri dati (che diano garanzie anche in caso di eventi estremi)
Dimostrare che i propri dati non siano esposti a rischi legati al luogo di stocaggio degli stessi, ad esempio il furto di un pc o server utilizzando sistemi di virtualizzazione dei dati e di private storage
L’importanza della formazione e della consapevolezza
Ricordiamo che il GDPR conferisce alle autorità il potere di stabilire sanzioni dall’ammontare che può toccare il 2% e in alcuni casi il 4% dei profitti generati da un’azienda a livello globale in un anno (GDPR, art.83 par 4 e 5). Tali sanzioni scattano qualora, a seguito di controlli da parte dell’Autorità, l’organizzazione interna non risulti pienamente compliant alla normativa europea.
Le sanzioni sono pesanti, ed il modo più agevole per motivarsi a seguire la norma è quello di vederla come un’opportunità funzionale per l’azienda. Formare il personale in materia di protezione dei dati permetterà di fare chiarezza nei ruoli e nei processi aziendali, tracciando o delimitando le aree di intervento di ogni operatore, e metterà al tempo stesso tutti gli attori coinvolti nella condizione di sapere cosa si può fare e cosa invece va evitato.
