Tutti teniamo alla nostra vita privata, eppure siamo sempre più portati ad esporre informazioni che ci riguardano nella grande vetrina di internet. Sono centinaia di migliaia i database che contengono e condividono i dati che noi rendiamo pubblici senza nemmeno rendercene conto. Ma sappiamo davvero come verranno utilizzati e se sono al sicuro?
Partiamo dal principio. L’articolo 4 del Codice della Privacy (D. Lgs. 196/2003) definisce i dati personali come “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Tra queste informazioni non troviamo tutto ciò che riguarda l’ambito giuridico, che occupa un capitolo a parte all’interno del codice, e i dati sensibili, che comprendono “l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Tutte le informazioni sono soggette a rischi di varia natura: dalla violazione dei database, all’uso per scopi diversi da quello per cui sono state raccolte, all’uso per obiettivi non molto legali come ricatti con il fine ultimo di trarne profitto, ecc. Il pericolo, dunque, è dietro l’angolo: c’è modo di difendere i propri dati?
Vuoi sapere quali sono gli adempimenti previsti dalla nuova normativa europea sulla privacy?
Clicca qui e scarica gratuitamente la nostra checklist!
Il trattamento dei dati personali è connesso al risk management, ramo che si sviluppa all’interno della gestione del rischio aziendale. Quando si parla di dati personali bisogna pensare a metodi di protezione per le informazioni stesse e dei metodi utilizzati per il loro trattamento.
Immagina di dover proteggere un diamante di altissimo valore. Dovrai non solo assicurarti che nessuno sappia che tu hai il diamante, ma anche tutelare il luogo in cui l’hai nascosto. Se il potenziale ladro sapesse che conservi il tuo gioiello in una cassaforte nella Banca Centrale di Londra, sarebbe più facile portare a termine il colpo.
All’interno del nuovo Regolamento Europeo per la tutela della privacy si fa spesso riferimento al dovere dei Titolari e dei Responsabili di adottare misure per l’analisi dei rischi equivalenti a quelle utilizzate attualmente in azienda. Dunque, a cosa può andare incontro il mio database? Per scegliere le corrette misure minime di sicurezza entra necessariamente in gioco la valutazione dei rischi.
Ogni business che si occupa del trattamento dei dati personali avrà delle problematiche diverse in base ai sistemi di raccolta e conservazione delle informazioni. Questo a partire dai software utilizzati, passando anche per errori del personale, hardware obsoleto, eventuali materiali cartacei e modalità di distribuzione degli stessi. Nonostante questo, possiamo individuare delle problematiche in comune tra cui:
Ad ogni rischio dev’essere assegnato un valore numerico che comprende non solo la probabilità che un dato problema si verifichi, ma anche la gravità, cioè l’impatto, che questo potrebbe avere sull’azienda. Occorre sempre ricordarsi del principio cardine da assicurare ai dati ossia il cd. RID (riservatezza - integrità – disponibilità).
Una volta individuati i rischi, si possono cercare delle soluzioni per migliorare la tutela dei dati personali all’interno della propria azienda. Se è vero che, come disse il premio Nobel per la pace Nelson Mandela “l'istruzione è l'arma più potente che puoi utilizzare per cambiare il mondo”, il primo passo per migliorare la protezione interna dei dati è la formazione del personale.
A livello di hardware, invece, si richiede l’utilizzo di strumenti nuovi dotati di sofisticate caratteristiche tecniche come RAM e processore di ultima generazione, in modo tale da gestire senza problemi grandi quantità di dati.
Ma l’hardware non può nulla se non è accompagnato da software adeguati. In genere, è consigliabile l’utilizzo di sistemi criptati e di antivirus sempre aggiornati. Tra hardware e software la mole di lavoro è tanta e non tutti i business possono permettersi una risorsa interna dedicata.
Per questa ragione, è possibile esternalizzare la gestione dei dati grazie a soluzioni on cloud che permettono di evitare i costi di manutenzione e aggiornamento di hardware e software, risorse che possono essere dedicate all’assunzione di un tecnico informatico specializzato. Si ricorda tuttavia che tale scelta dovrà necessariamente essere supportata da accorgimenti procedurali/documentali richiesti dalla normativa privacy.