Chi avesse la pazienza e la volontà di leggere tutto il testo del GDPR, inclusi i considerata, potrebbe rimanere sorpreso nel non imbattersi in parole come, ad esempio, password o antivirus. I primi e più banali sistemi di sicurezza e di protezione dati non vengono neppure presi in considerazione. Che cosa vuol dire?

In questi ultimi anni, la protezione dei dati personali dovrebbe essere diventata una priorità fondamentale per le aziende di tutto il mondo e sul territorio dell’Unione Europea ancora di più. Tuttavia, il GDPR non dice “che cosa deve essere fatto” né tantomeno specifica esattamente quali misure di sicurezza devono essere adottate, lasciando alle aziende molti dubbi ma garantendo una totale libertà nell'implementare le proprie strategie di protezione. Non si trovano nel testo non solo parole come quelle menzionate né, tantomeno, vengono fornite precise indicazioni, ma si richiede alle aziende di adottare misure adeguate a proteggere i dati personali.

Ribadiamo ancora una volta, se mai ce ne fosse bisogno, che i dati personali sono un bene prezioso e la prova è data dal numero quotidiano di tentativi di furto o di accesso che subisce chiunque sul proprio smartphone; figuriamoci una grande azienda. Da qui, anche la necessità di proteggerli non solo da questi attacchi esterni, ma anche da noi stessi e dalla nostra distrazione per evitare di regalare la nostra identità a qualcuno che si trova dall’altra parte del monitor.

Per un’impresa tutto ciò è ancora più vero e il legislatore europeo ha stabilito l’obbligo di conformarsi al GDPR che impone non solo la protezione dati in senso stretto, ma anche l’obbligo di consentire a tutti i cittadini, gli interessati, di esercitare i loro diritti sui propri dati. La mancanza di indicazioni su come farlo dipende da più fattori, non ultimo la dimensione aziendale e l’importo economico richiesto. Non si possono, infatti, inserire obblighi che potrebbero essere non solo fuorvianti e inadatti a molte realtà aziendali, ma anche oltremodo onerosi.

Come muoversi quindi all’interno di questa rete ad ampie maglie che, comunque, deve essere applicata ad ogni realtà che tratta dati personali?

Torniamo quindi a dare alcune indicazioni di base per tutti salvo ribadire che il GDPR deve essere un vestito su misura per ogni realtà aziendale e per le sue specifiche attività di protezione dati.

La crittografia è uno degli strumenti più potenti per proteggere i dati. Trasformando i dati in un formato che può essere letto solo con una chiave di decrittazione, le aziende possono garantire che, anche se i dati vengono intercettati, non saranno facilmente utilizzabili dai malintenzionati. I firewall monitorano e controllano il traffico di rete, impedendo accessi non autorizzati. I sistemi di intrusion detection rilevano attività sospette e potenziali minacce, permettendo alle aziende di rispondere rapidamente agli attacchi. Anche l'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire due forme di identificazione. Questo riduce significativamente il rischio di accessi non autorizzati. Sistemi di backup e ripristino dati devono essere previsti anche a fronte di possibili Data Breach così come la formazione del personale incaricato al trattamento che deve essere sempre munito di una lettera d’incarico.

Guardando ad alcuni dei più grandi scandali di violazione dei dati, possiamo trarre importanti lezioni su cosa funziona e cosa no. Ad esempio, l'hackeraggio di Equifax nel 2017 ha esposto le informazioni personali di circa 147 milioni di persone. Una delle principali cause dell'attacco è stata una vulnerabilità non corretta nel software utilizzato da Equifax. Questo caso ha sottolineato l'importanza di mantenere aggiornati i sistemi e di implementare patch di sicurezza tempestivamente. Yahoo era stata vittima di un’importante attacco già nel 2013-2014; la catena Marriott è stata sotto attacco per anni con il risultato dell’estrazione di milioni di dati sensibili.

In conclusione, e nell’impossibilità di fornire una soluzione perfetta valida per tutti, ricordiamo che partire da un’attenta analisi per accertare i tipi di dati presenti in azienda e poi valutare come meglio proteggerli, anche in considerazione della catena interna della loro gestione, è sempre un primo passo dafare e, magari, anche rifare in corso d’opera per valutare se il livello di protezione sia ancora accettabile.