Una delle domande che viene posta da un consulente privacy per definire le policy di un’azienda o di un libero professionista, è “quanti computer avete in azienda’”. Nella mia esperienza, i più non sono in grado di rispondere. La seconda domanda potrebbe riguardare il numero di terminali e/o dispositivi che si connettono alle reti aziendali. Ed anche in questo caso l’interlocutore potrebbe brancolare nel dubbio.

La domanda su quanti computer esistono in un’azienda forse è mal posta ed è necessario far fare mente locale e più correttamente chiedere (e chiedersi), quanti sono i terminali su cui vengono trattati i dati aziendali. Ecco che, a questo punto, viene alla mente non solo il numero dei computer, ma anche dei portatili, tablet, cellulari, pen drive che sono a disposizione di tutto il personale di un’azienda. Non solo. Un imprenditore attento alla tutela dei dati, dovrebbe anche considerare se i suoi dipendenti e collaboratori utilizzino apparati personali per lo svolgimento del loro lavoro; se a segretarie o personale di desk possa capitare di memorizzare il numero di un cliente o un paziente; se eventuali visitatori degli uffici aziendali possano collegarsi alle reti wifi e così via.

Possono emergere risultati insospettabili e numeri che superano di gran lunga quelle che erano le credenze o le opinioni di un imprenditore che, così facendo, viene a conoscenza di quelle che sono le potenziali fonti di rischio per i dati personali e tutte le possibili esposizioni degli stessi a perdite e ad attacchi esterni. 

Diverso è infatti il caso di chi debba tutelare solo pochi terminali connessi in una rete protetta e invece di chi si trovi a dover prevedere un quantitativo indefinito di possibili utenti che usano il wifi aziendale, magari anche solo nei momenti di pausa. E limitiamoci semplicemente ad accennare che detto uso può andare dalla semplice lettura notizie fino ad un uso anche improprio dei social, con le conseguenti esposizioni a rischio di attacco.

I dati richiesti dovrebbero già essere a conoscenza dell’amministratore di sistema, laddove presente, o comunque essere già a conoscenza dell’imprenditore, che si supponeva già si fosse adeguato al GDPR; ma anche sotto questo aspetto si denota ancora una volta la mancanza della cultura di protezione del dato. Da questo punto di vista dovrebbe essere poi compito dell’amministratore di sistema avere non solo l’elenco degli apparati connessi o meno alla rete e la tipologia dei dati trattati dai singoli utilizzatori, ma anche avere l’indicazione dei programmi software utilizzati, al fine di poter predisporre interventi di protezione specifici considerando le reali potenzialità di rischio. Diversa infatti potrà essere la protezione laddove gli strumenti aziendali siano usati solo per lavoro in un ambiente protetto, rispetto a molte realtà in cui, anche una sola segretaria, faccia un uso privato della rete internet navigando su social o siti di acquisti.

Si tratta di un’attività che non solo è fondamentale per predisporre una policy adeguata alla complessiva cyber security di un’impresa, ma anche per essere a conoscenza di tutti gli strumenti ormai indispensabili alla gestione di un’azienda. Potranno essere così valutati anche altri strumenti di protezione quali antivirus, scansioni, sistemi di conservazione dati, cloud e non solo.

Un altro aspetto da considerare per chi veda il GDPR solo come un nemico.