In questi mesi della rubrica ROAD TO GDPR spero di essere stata in grado di fornire qualche strumento utile per poter adeguarsi alla nuova normativa privacy (GDPR) ma, nonostante i vari articoli che enunciano step by step quali accorgimenti adottare per trattare i dati personali, allo stato attuale solo il 17% delle imprese italiane sopra i 250 addetti si dichiara già in regola.
Ciò che mi preme segnalare è che non ha senso parlare di sicurezza in senso assoluto per cui, prima di acquistare uno dei tanti software che promette una facile compliance alla normativa, occorrerebbe effettuare una buona analisi del rischio. Non dimentichiamoci infatti che non occorre cancellare tutto ciò che è stato fatto in passato, anzi! Nella maggior parte dei casi sarà sufficiente adottare alcuni accorgimenti di basilare importanza, vediamo allora le best practice più sottovalutate in campo di sicurezza informatica quali:
1) fare il backup dei dati trattati
Il primo step – realizzabile in mezz’ora di lavoro (se si è stati diligenti e si è in grado di individuare le cartelle ove sono stati custoditi i dati che utilizziamo tutti i giorni per lavoro) – è quello di installare un software che permette il backup automatico dei dati (io ne ho trovato uno valido qui http://www.cobiansoft.com/index.htm).
2) predisporre un’adeguata informativa
Credo che in quattro giorni sia particolarmente complicato per un’azienda ottenere nuovamente il consenso da tutti i vari clienti, tuttavia se sbagliare è umano, perseverare è diabolico. Almeno ai nuovi clienti è fondamentale far sottoscrivere un’informativa conforme alla normativa (noi ne abbiamo parlato qui) e, una volta predisposta, perché non inviare pronta comunicazione anche ai vecchi clienti?
3) aggiornare i software (in particolare gli antivirus) e cambiare le password con regolarità
Nel 2017 i siti istituzionali e le infrastrutture dello Stato hanno subito più di mille attacchi informatici, molti dei quali sarebbero stati facilmente evitati se fossero stati installate le patch di aggiornamento in tempo.
4) rispettare i parametri R.I.D.
Un sistema di sicurezza delle informazioni è tale se rispetta questi tre requisiti:
- Riservatezza: è fondamentale predisporre un sistema di credenziali che permetta l’accesso a determinati dati “particolari” solo al personale autorizzato;
- Integrità: un dato scorretto è un dato inutile, per cui è necessario proteggere i dati che trattiamo quotidianamente da eventuali modifiche non desiderate;
- Disponibilità: le informazioni devono essere disponibili entro un termine certo alla persona autorizzata che ne faccia richiesta
Se da un lato negli ultimi giorni si intravede il panico dell’adeguamento entro la data del 25 maggio per evitare le sanzioni dell’autorità, con imprenditori disposti a spendere qualsiasi cifra per avere la tanto agognata “certificazione” di essere GDPR compliant (a proposito…non ne esistono, ma i lettori di questa rubrica dovrebbero già averlo imparato da tempo), dall’altro, in pieno menefreghismo, c’è persino chi ritiene il GDPR una “norma priva di contenuti applicativi e priva di dettagli operativi…(per cui si consiglia) di non procedere ad alcun adempimento in quanto ogni provvedimento oggi sarebbe o potrebbe essere inadeguato o superfluo” .
L’obiettivo principale dell’Autorità Garante per la protezione dei dati personali, soprattutto dopo il caso Cambridge Analytica, è stato ampiamente raggiunto: mai prima d’ora si era sentito parlare così spesso – talvolta anche troppo e senza cognizione di causa – di protezione dei dati personali. E’ proprio quest’ultimo aspetto che vorrei evidenziare, se gli strumenti di gestione dei dati personali sono importanti lo sono ancora di più le persone addette al loro aggiornamento e configurazione. L’acquisto del miglior sistema di sicurezza infatti, in mancanza di un’adeguata preparazione tecnica, è assolutamente inutile, se non addirittura dannoso, un po’ come dire che: “la robustezza di una catena si valuta in relazione al suo anello più debole”.
Ripercorri passo a passo la rubrica ROAD TO GDPR
© RIPRODUZIONE RISERVATA
