Entro il 25 maggio 2018 tutte le aziende dovranno allinearsi ai dettami del nuovo regolamento Ue sulla protezione dei dati personali. Trattamento di dati non conforme, perdita di dati e richieste di consenso non a norma di legge si traducono in sanzioni pecuniarie fino a 20 mln di euro. Nei giorni scorsi abbiamo assistito all’ennesimo cyber-attacco ai danni di aziende anche molto note: come fare in questi casi, quando la tutela dei dati personali è messa a dura prova?
TRATTAMENTO DATI: LA NORMATIVA CHE AIUTA A CALCOLARE I RISCHI
Con l’entrata in vigore del regolamento, la priorità diventa quella di dotarsi di procedure rigorose e attenersi scrupolosamente alle indicazioni legislative durante le fasi di raccolta e trattamento dei dati. Ma adeguarsi al regolamento non è utile soltanto ad evitare sanzioni, consente infatti di aumentare il livello di sicurezza durante le attività di trattamento dati, di darsi un metodo per calcolare i rischi ed eventualmente gestirli in modo efficace.
Ma di quali rischi parliamo? Si va da situazioni estreme come un attacco informatico a situazioni più comuni – da non sottovalutare! – come la perdita di dati accidentale dovuta a sviste. Il risultato, in entrambi i casi, è una violazione a danno di chi ha fornito i dati.
MILIARDI DI DATI NELLE MANI DELLE AZIENDE
Quanti dati passano tra le mani delle aziende? Moltissimi. I data base sono un vero tesoro, soprattutto se vengono applicate attività di profilazione efficaci, ad esempio a fini di marketing o di customer care. Non a caso, questa è una delle azioni a cui fa riferimento la definizione “gestione dei dati” inclusa nel regolamento.
Molti dati poi passano attraverso app; spesso i dipendenti utilizzano dispositivi elettronici per trattarli (propri o dell’azienda); non di rado i dati vengono trascritti, stampati, utilizzati per produrre documentazione (buste paga e simili). Quanti rischi si nascondono dietro queste attività di routine? Quali procedure per mettere in sicurezza i dati (non) vengono adottate in questi passaggi?
Chi fornisce i propri dati non ha percezione alcuna del livello di sicurezza con cui le aziende li tratteranno; quando le violazioni sono evidenti può agire per reclamare tutela, una tutela che il regolamento per giunta potenzia. Le prescrizioni sono precise e c’è ancora tempo per adeguarsi: adottare da subito le soluzioni idonee consente di evitare rischi e sanzioni inutili.
Cosa prevede il Regolamento UE 2016/679? Come adeguarsi?
VAI ALLA PAGINA DEDICATAPERDITA DI DATI E VIOLAZIONI: I RISCHI SONO CALCOLABILI
La perdita o la “fuoriuscita” dei dati contenuti in un database può essere dovuta ad attacchi informatici, ma non vanno dimenticate situazioni anche più banali: dipendenti che dimenticano documentazione sui mezzi pubblici, chiavette usb smarrite, smartphone rubati e così via. Adeguarsi in fretta a quanto previsto dal regolamento non è soltanto una questione di burocrazia, è rispettare regole che impongono una gestione più ordinata e sicura del patrimonio di informazioni in possesso dell’azienda; una gestione che, se non adeguata, può mettere rapidamente a repentaglio la privacy dell’individuo e portare a sanzioni pesantissime.
Pochi giorni fa un cyber attacco ha colpito aziende di tutto il mondo: il fatto che le aziende siano vittime di un attacco informatico non le rende meno responsabili nei confronti dei titolari dei dati che possiedono, in caso di violazioni. Simili problematiche vanno affrontate a norma di legge, delineando un piano d’azione ad hoc. Per questo il nuovo regolamento europeo impone una valutazione preventiva dei rischi del trattamento e l’adozione di opportune misure di controllo nelle varie fasi.
La sicurezza delle reti informatiche, intesa come questione puramente tecnologica, è cruciale: da dove passano i dati? dove vengono conservati? Va poi precisato che sicurezza informatica non coincide con sicurezza dei dati al 100%: occorre adeguarsi alle nuove prescrizioni Ue, definendo procedure idonee e pensando a soluzioni come la certificazione ai sensi del regolamento, che consentono di dimostrare di essere in linea con quanto previsto dalla normativa.