Misure di sicurezza: perché investire e come farlo correttamente

Quali sono le misure tecniche da adottare secondo il GDPR? E perché è importante la formazione sul tema

di Andrea Appicciafuoco*

Cosa si intende col termine “misure di sicurezza”? E’ da qui che dobbiamo partire per capire la portata di questo concetto ed arrivare poi a definire una giusta politica di investimenti da programmare all’interno del proprio contesto operativo. Il modo più semplice, ma nello stesso tempo più completo per definire il concetto di “misure di sicurezza” è il seguente: l’insieme delle azioni fisiche, organizzative ed operative messe a punto per proteggere un “bene”. Nel contesto del Regolamento Generale sulla Protezione dei Dati (RGPD) il “bene” si intende l’insieme dei dati di una persona fisica ed i trattamenti ad essi legati.

Spetta al Titolare del Trattamento valutare i rischi di ogni trattamento e di conseguenza mettere in atto misure tecniche ed organizzative adeguate volte a garantire che il trattamento sia effettuato in modo conforme al Regolamento stesso (artt. 24 e 25 del Regolamento). L’attuazione di una politica di protezione fin dalla progettazione e per impostazione è fondamentale per avere una corretta visione delle misure di sicurezza da adottare per ogni singolo trattamento di dati svolto dal Titolare. L’art. 5 del Regolamento definisce in maniera chiara i principi applicabili al trattamento dei dati ed in particolare il comma f del paragrafo 1 precisa che i dati personali sono “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”. Pertanto è l’intero trattamento a dover essere protetto e non tanto l’insieme dei dati in quanto tali; da qui la necessità di valutare in modo separato ogni singolo trattamento a cui il medesimo dato potrebbe essere sottoposto. Ad esempio le informazioni raccolte da una azienda in merito ai clienti potrebbero essere trattate per la fatturazione dei servizi offerti (trattamento di tipo amministrativo) ma allo stesso tempo per creare gruppi omogenei per volumi di spesa a cui rivolgere condizioni economiche e scontistiche diverse (trattamento di tipo commerciale).

Tipologia di misure di sicurezza

Le misure di sicurezza si possono distinguere in:
1. Fisiche
2. Organizzative/procedurali

1) Misure fisiche
Poiché il Regolamento precisa che il trattamento dei dati può essere anche misto, parlando di misure fisiche dobbiamo distinguere fra quelle che riguardano il trattamento ancora cartaceo a quello sempre più diffuso che fa utilizzo di tecnologie informatiche, su cui naturalmente si concentra la maggior attenzione.
Nel primo caso sarà necessario verificare se l’accesso al materiale cartaceo (fascicoli, pratiche ecc.) sia adeguatamente protetto con l’utilizzo di armadi chiusi a chiave, che le copie cartacee di documenti siano distrutte una volta concluse le operazioni di lavoro (è consigliabile disporre di un distruggi-documenti di buona qualità), che le postazioni di lavoro siano lasciate in ordine (le pratiche siano riposte nei cassetti o negli armadi) soprattutto quando nell’ambiente lavorativo si utilizzi una ditta di pulizie esterna che opera fuori dall’orario di servizio.

Nel secondo caso lo scenario è molto più ampio e coinvolge, in genere, almeno una figura tecnica esperta nel settore informatico (interna o esterna) che supporti l’intero processo informatico. Senza scendere troppo nel dettaglio, ma allo stesso tempo dare un quadro abbastanza completo, un ambiente di lavoro tradizionale in genere prevede una rete interna di elaboratori collegati ad una macchina principale (in gergo tecnico server) all’interno della quale sono memorizzati le banche dati oggetto dei trattamenti. Occorrerà avere un adeguato sistema di salvataggio automatico che garantisca il ripristino in tempi brevi della funzionalità lavorativa anche in caso di violazione dei dati, dove col termine violazione non si intende soltanto un intervento malevolo esterno, ma anche e soprattutto gli accadimenti usuali quali rottura dei dischi fissi, azioni maldestre fatte dagli operatori interni, distacchi di corrente elettrica, virus e via dicendo. Fra le misure tecniche da evidenziare possiamo elencare:
a) utilizzo di gruppi di continuità che garantiscano il funzionamento anche in caso di
b) mancanza di alimentazione;
c) utilizzo di programmi antivirus adeguatamente aggiornati ed affidabili;
d) utilizzo di programmi applicativi testati e costantemente aggiornati (sistemi operativi inclusi);
e) accessi ai dispositivi di lavoro (sia fissi che mobili) attraverso credenziali personali con rinnovo obbligatorio almeno ogni 6 mesi (3 in caso di trattamento di dati particolari) delle password di accesso;
f) messa a punto di procedure di ripristino dati per testare l’efficacia dei supporti di salvataggio;
g) messa a punto di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche in uso (audit interno ed esterno).

In merito alle misure tecniche il Regolamento non dà indicazioni specifiche (al contrario della precedente normativa che indicava delle misure minime); questo è un punto sostanziale del nuovo impianto normativo perché ribadisce la centralità della “RESPONSABILITA’ a 360°” del Titolare del Trattamento in merito ai trattamenti che si effettuano all’interno della realtà operativa e quindi è come se la legge dicesse: “non sono io a stabilire cosa devi fare, ma Tu, Titolare del Trattamento, a dover essere RESPONSABILE di tutto il processo, ivi comprese le misure di sicurezza poste in campo per essere “adeguato” verso il Regolamento.

GDPR: il decreto di adeguamento pubblicato in Gazzetta Ufficiale Manager, avvocato o informatico? Chi è il Data Protection Officer

L’art. 32 al paragrafo 1 elenca alcune misure, citando al comma a) come misura di protezione e quindi di sicurezza, la pseudonimizzazione e la cifratura dei dati personali. Pur sembrando due semplici indicazioni fra le tante, in realtà queste 2 misure sono sicuramente fra le più critiche per gli ambienti lavorativi, in quanto i programmi informatici in uso nelle varie realtà operative non sono certo stati progettati con questa filosofia e quindi è ragionevole dire che allo stato attuale la quasi totalità dei programmi informatici purtroppo è priva di queste tecniche; ci vorranno anni perché siano poste in essere in modo pratico queste 2 misure o almeno una delle 2.
Certamente per chi dovesse avviare adesso un nuovo progetto che preveda un trattamento dati dovrà sicuramente prendere in seria considerazione nella progettazione del programma informatico questa indicazione qualora ricorrano gli elementi perché questa misura sia da applicare.

2) Misure organizzative
Le misure organizzative riguardano le procedure operative a cui gli incaricati al trattamento si devono attenere per svolgere i vari compiti in linea coi dettami del Regolamento; per fare un esempio come gestire l’accoglienza degli utenti in un ente pubblico oppure come smistare le pratiche e i fascicoli all’interno degli uffici; e ancora quali informazioni dare e non dare per telefono; sono solo esempi per far comprendere quanto sia importante che il titolare del trattamento analizzi e riprogetti all’interno della sua realtà lavorativa le abitudini di esecuzione delle varie mansioni degli incaricati al trattamento.

Investimenti in misure di sicurezza

A ben vedere non è detto che gli investimenti soprattutto in termini economici siano necessariamente alti, dipende chiaramente da ogni realtà; spesso la situazione di partenza non è così messa male e possono bastare poche implementazioni tecniche a far alzare il livello di protezione in modo significativo; quello che è sicuramente più importante, per il Titolare del trattamento, è avere un’apertura mentale volta a comprendere che l’acquisto di una strumentazione informatica per fare dei salvataggi più sicuri o la sostituzione di apparecchiature obsolete (solo per fare degli esempi) non è da considerarsi un costo che non dà risultati economici in termini di fatturato (come si potrebbero avere magari acquistando una nuova macchina per produzione di lavorati), ma un investimento in quella che oggi sta diventando una necessità fondamentale: la SICUREZZA per proteggere al meglio i dati trattati. Oggi le informazioni rappresentano il bene più prezioso e come tale devono essere protette e custodite con misure tecniche e organizzative adeguate. Così come la progettazione o la riprogettazione di procedure operative interne non è una perdita di tempo o un esercizio stilistico per assolvere ad un onere burocratico, ma un vero e proprio miglioramento della qualità lavorativa e di conseguenza un innalzamento dell’efficienza ed efficacia produttiva.

Inoltre va detto che gli investimenti in termini di sicurezza non dovrebbero essere una tantum, ma un processo costante e continuo; in altre parole il percorso di miglioramento soprattutto in ambito sicurezza è preferibile che sia un po’ più lento, ma graduale nel tempo; è opportuno fare un vero e proprio programma di investimenti economici, così facendo si mette in moto un’abitudine che permetterà di rimanere al passo con le continue innovazioni sia tecnologiche che normative.
Adeguarsi alle norme del Regolamento in tutte le sue sfaccettature deve diventare un processo OPERATIVO, MENTALE e CULTURALE.

Formazione

Pur meritando questo argomento da solo un intero articolo, voglio accennare che in più punti del Regolamento si parla di formazione sia per gli incaricati che per il responsabile del trattamento (art. 29); lo stesso concetto viene ribadito al paragrafo 4 dell’art. 32 “Il Titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”. In altre parole senza formazione nessun dipendente o collaboratore deve operare sui dati.

Formazione vuol dire non solo impartire le giuste istruzioni su come operare, ma molto di più, significa:
– far crescere la consapevolezza di chi lavora,
– innalzare il livello di attenzione,
– accrescere la cultura aziendale.
Tutto questo porterà enormi benefici, eviterà errori dovuti alla ”ignoranza” e farà crescere la qualità del lavoro.
Come per le misure tecniche, anche il processo di formazione deve essere costante nel tempo per permettere alle persone di apprendere, assimilare e mettere in pratica quanto appreso secondo un processo di capitalizzazione costante volto ad accrescere l’intero patrimonio culturale dell’ambiente lavorativo.

*Andrea Appicciafuoco
Ingegnere meccanico indirizzo informatico, consulente informatico Olivetti, titolare e legale rappresentante da oltre 30 anni della società PI GRECO srl che opera nella fornitura di servizi software per la scuola, consulente nel settore privacy da oltre 15 anni, Responsabile della Protezione dei Dati per l’Ordine degli Avvocati di Firenze, certificato UNI 11697 come Responsabile Protezione Dati, formatore nel settore scuole per conto del MIUR, formatore nel settore privacy.

ASSODATA

ASSODATA, Professionalità nella privacy, è una associazione fondata a Firenze e con sede legale a Lucca, e nasce con lo scopo di essere un punto di riferimento per tutti quei professionisti che decidono di tecnologie, mirando a creare occasioni di accrescimento delle competenze, oltre che di scambio e confronto.

Archivio Articoli

Ti è piaciuto questo contenuto?

Con la newsletter Teknoring resti sempre aggiornato.

In più, uno sconto del 20% su libri ed e-book e l’accesso ai vantaggi riservati agli iscritti.

ISCRIVITI

Potrebbero interessarti