PRIVACY: l’importanza della formazione e della consapevolezza

Sono trascorsi ormai quasi due anni dall’effettiva applicabilità del Regolamento europeo in materia di protezione dei dati (GDPR) e il bilancio delle sanzioni applicate dalle Autorità in ambito europeo ammonta alla cifra non trascurabile di 114 milioni di euro (https://www.punto-informatico.it/gdpr-multe-114-milioni-euro/)

In Italia fino ad oggi le sanzioni comminate si erano limitate a casi eclatanti che coinvolgevano grandi compagnie come ENI GAS E LUCE (EGL) per le attività di telemarketing e attivazione di contratti non richiesti, o al celebre caso alla piattaforma di e-voting ROUSSEAU.

Da  oggi però, le cose cambieranno, e a diventare oggetto dei controlli saranno anche le piccole aziende di cui è disseminato il nostro territorio. Verranno prese in considerazione non solo le attività di schedulazione dei dati di terzi e il modo in cui vengono trattati dalle aziende, ma anche l’utilizzo che ogni azienda fa dei propri dati, e la propria capacità di tenerli al sicuro, di evitare intrusioni, perdita o dispersione di dati sensibili. In poche parole bisognerà dimostrare di aver messo in atto tutte le strategie tecnologiche a disposizione per garantire la sicurezza dei dati.

Le soluzioni informatiche a disposizione delle aziende per fortuna oggi sono molte, ed è possibile ideare la strategia informatica di data protection più adeguata al tipo di attività svolta.

Riassumendo le principali aree di intervento informatico, ogni azienda dovrà essere in grado di:

  • Dimostrare di far accedere ai dati sensibili solamente il personale addetto a tale trattamento, utilizzando password adeguate e sistemi di tracciabilità degli accessi ai dispositivi in funzione del grado di autorizzazione (accountability)

  • Dimostrare di possedere un sistema adeguato ad arginare le intrusioni esterne nei propri sistemi (data breach): antivirus, firewall, sistemi di criptatura di eventuali dati in uscita

  • Dimostrare di avere una copia sicura dei propri dati (che diano garanzie anche in caso di eventi estremi)

  • Dimostrare che i propri dati non siano esposti a rischi legati al luogo di stocaggio degli stessi, ad esempio il furto di un pc o server utilizzando sistemi di virtualizzazione dei dati e di private storage

L’importanza della formazione e della consapevolezza

Ricordiamo che il GDPR conferisce alle autorità il potere di stabilire sanzioni dall’ammontare che può toccare il 2% e in alcuni casi il 4% dei profitti generati da un’azienda a livello globale in un anno (GDPR, art.83 par 4 e 5). Tali sanzioni scattano qualora, a seguito di controlli da parte dell’Autorità, l’organizzazione interna non risulti pienamente compliant alla normativa europea.

Le sanzioni sono pesanti, ed il modo più agevole per motivarsi a seguire la norma è quello di vederla come un’opportunità funzionale per l’azienda.   Formare il personale in materia di protezione dei dati permetterà di  fare chiarezza nei ruoli e nei processi aziendali, tracciando o delimitando le aree di intervento di ogni operatore, e metterà al tempo stesso tutti gli attori coinvolti nella condizione di sapere cosa si può fare e cosa invece va evitato.

/ Senza categoria