protezione dati personali
Condividi l'articolo

La protezione dei dati personali, argomento su cui ancora molti di noi non hanno riposto la dovuta attenzione. Ecco perchè è necessario fare chiarezza su come curarli garantendone la sicurezza.

sicurezza dati personali

I dati personali sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica (il cosiddetto “interessato”), come definito dall’art. 4 del Regolamento UE 2016/679, di seguito “GDPR”. 

I dati personali e i dati aziendali

Tali informazioni possono riguardare i dati anagrafici, le abitudini, lo stile di vita, le relazioni personali, lo stato di salute o altri dati dell’interessato.

Per dati aziendali, invece, si intende una categoria che racchiude tutte le informazioni all’interno dell’azienda: sia dati personali (es: i dati anagrafici dei dipendenti) che dati non personali (es: la scheda di un prodotto).

Ad ogni modo, in questo breve articolo parleremo solo di dati personali, senza occuparci della categoria più ampia dei dati aziendali.

Le fonti dei dati personali.

I dati personali possono essere raccolti da un’azienda/un professionista/un’associazione:

  • direttamente dall’interessato: cliente, dipendente, utente in genere.

In questo caso si parla di raccolta presso l’interessato (art.13 GDPR);

  • indirettamente, attraverso terze parti. Ad esempio, un agente che invia al suo mandante i dati dei clienti che ha acquisito.

In questo caso si parla di raccolta presso terzi (art.14 GDPR);

Un’altra distinzione è quella tra la raccolta tramite moduli cartacei oppure online, su internet. Nel primo caso parliamo del classico modulo cartaceo che viene compilato e sottoscritto dall’interessato;

nel secondo si tratta di moduli online che vengono sottoscritti attraverso modalità elettroniche, come ad esempio un “click” su un modulo online(lead generation), a conferma dei dati, oppure un “check” in una mail, a conferma dei dati stessi (double opt-in)

Perché è obbligatorio proteggere i dati personali

L’art. 32 del GDPR stabilisce che, al fine di preservare e garantire i diritti e le libertà delle persone fisiche, l’azienda – nella persona del titolare del trattamento e del responsabile del trattamento – deve mettere in atto le opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.

Ma scrivere, ad esempio, che l’azienda “mette in atto misure adeguate…” è sufficiente per essere a norma?

Rispettare il mero adempimento burocratico, nel GDPR, non solo è inutile ma anche pericoloso: nel GDPR vale il principio di accountability (o “responsabilizzazione”), per il quale è il Titolare a dover dimostrare la corrispondenza tra quanto dichiarato nei documenti privacy e quanto è stato effettivamente predisposto sia a livello organizzativo che tecnologico.

Facciamo un esempio.

Un’azienda decide di raccogliere dati online, tramite un modulo di raccolta dati.

Nell’informativa resa a chi compila e invia il modulo l’azienda dichiara di aver adottato le misure adeguate di sicurezza ecc..

Arriva un controllo privacy e vengono chieste evidenze sulle misure implementate.

L’azienda dovrà dimostrare, oltre quanto scritto, che ha previsto tutte le misure necessarie per il tipo di trattamento “raccolta dati online”.

Principali metodi di protezione

Protezione tecnologica

Per ridurre il rischio sui dati trattati, oltre agli strumenti maggiormente noti, come l’uso di software aggiornati, ufficiali, con dispositivi protetti da software antivirus e firewall, un ruolo importante nella protezione dei dati è fornito dalla crittografia e dalla pseudonimizzazione, che sono delle tecniche di mascheramento dei dati necessarie per:

  • proteggere l’hardware, il software e i dati dagli accessi non autorizzati (intenzionali o meno);
  • garantire la riservatezza nonché eventuali usi illeciti, come la divulgazione, modifica e distruzione non autorizzata.

La crittografia consiste trasformare dei caratteri comprensibili in codici: cifrare un testo vuol dire trasformato al fine di impedirne la lettura a soggetti diversi dal mittente e dal destinatario, a meno di disporre della “chiave” di decifratura che converte il testo cifrato nei caratteri originari, comprensibili.

Esempio: invio come allegato di una mail un file compresso, ad esempio un “.zip” o “.rar”, protetto da password

La pseudonimizzazione, invece, è la tecnica con la quale i dati vengono scomposti, divisi, per cui non possono più essere attribuiti a una persona fisica; le  informazioni vengono conservate separatamente e solo avendo accesso all’insieme dei dati sarà possibile risalire alla persona fisica, all’interessato.

Protezione fisica

Sempre per ridurre il rischio sui dati trattati, oltre le misure di sicurezza tecnologica, abbiamo le misure di sicurezza fisica, che riguardano l’insieme di soluzioni il cui scopo è impedire che un soggetto non autorizzato possa accedere al luogo fisico dove i dati aziendali sono custoditi.

Alcuni esempi di misure di sicurezza sono: porte di accesso ai locali aziendali blindate, sistemi di riconoscimento del personale, armadi chiusi a chiave, sistemi di sorveglianza o controllo degli accessi, registro degli accessi dei visitatori, adozione di gruppi di continuità elettrici.

La formazione

La protezione tecnologica e fisica viene rafforzata dalla formazione delle persone coinvolte nel trattamento dei dati personali.

L’obbligo di formazione deriva dagli artt. 29, 32 e 39 del GDPR; tuttavia, non basta solo un corso di formazione ma serve, secondo il citato principio di accountability, la sua validazione documentata: in altri termini, le persone formate devono saper dimostrare di saper applicare, sul campo, le nozioni apprese.

Il Titolare dovrà documentare queste operazioni, esibendo le evidenze in caso di controlli da parte del nucleo speciale della Guardia di Finanza del Garante per la protezione dei dati personali. 

Definizione dei ruoli

Tra i vari adempimenti necessari nel processo di conformità al GDPR è richiesto anche di definire, tramite incarichi scritti e dettagliati, i ruoli privacy e le responsabilità dei soggetti che intervengono nei processi di trattamento dei dati personali.

Sinteticamente, i soggetti coinvolti nei trattamenti sono:

  • Interessato: è il proprietario dei dati personali, la persona fisica che fornisce i dati che saranno trattati dall’azienda/dal professionista/da un ente in genere.
  • Titolare del trattamento dei dati: è il soggetto che:
    • determina le finalità e le modalità del trattamento;
    • mette in atto le misure tecniche organizzative volte a proteggere i dati personali acquisiti. 
  • Responsabile del trattamento dei dati: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  • Soggetto autorizzato al trattamento dei dati: è il soggetto, persona fisica, che effettua materialmente le operazioni di trattamento sui dati personali, per conto del Titolare del trattamento, secondo precise istruzioni scritte.

Conclusioni

La reputazione e la credibilità di un’azienda, oggi, passa anche dalla corretta gestione dei dati personali, in sicurezza.

Avere cura dei dati personali vuol dire, anche, essere affidabili e trasparenti con i clienti; significa avere la possibilità di crescere ed essere competitivi.

Per usare una metafora, possiamo dire che la sicurezza è come una catena: l’anello più debole della catena rappresenta il rischio maggiore di rottura della catena stessa.

L’anello più debole della catena è rappresentato dalle persone che trattano i dati: posso avere una documentazione conforme al GDPR, dei sistemi di sicurezza adeguati e quant’altro ma, senza un’adeguata formazione a 360° del personale coinvolto nei trattamenti, avrò sempre una sicurezza/una catena “debole”.

Vale la pena curare i dati personali.

dati-personali-area-privacy

Hai bisogno di un software per la raccolta dei dati personali sicuro e a norma GDPR? AreaPrivacy è lo strumento che fa per te. Contattami per richiederne l’attivazione gratuita per un periodo di prova di 15gg.

Condividi l'articolo
Category
Tags

Comments are closed

© 2021 Best Tech Solutions di Cellini Christian p.iva 15760991008   | Privacy Policy | Cookie Policy | Email: [email protected]