È stato ribadito a più riprese come l’adeguamento al GDPR da parte di imprese e enti sia anche uno strumento utile per l’organizzazione, una migliore gestione degli archivi eliminando dati inutili e, ovviamente, evitare sanzioni e provvedimenti correttivi da parte del Garante e rischi di risarcimenti danni.

Ma da dove inizia una corretta gestione della privacy?

Si trovano in rete ancora molte policy standard usate con un copia incolla a volte incompleto e si sente ancora qualche imprenditore vantarsi di avere buoni antivirus. Tutto a posto? Niente di più sbagliato.

La prima attività da compiere è un’attenta analisi dell’organizzazione aziendale e della tipologia non solo di dati, ma anche delle proprie risorse e dei contratti con cui verranno gestite le attività. Un lavoro di previsione che contempli anche le peggiori ipotesi di data breach. In primo luogo, è necessario che il Titolare del trattamento valuti quanti e quali dati necessita per la propria attività: il principio di minimizzazione deve essere il primo tra le linee guida di ogni analisi per identificare che cosa chiedere alla propria utenza e con che cosa evitare di intasare i propri archivi.

Altra domanda fondamentale è capire chi ha la gestione di questi dati e con quali strumenti vengono effettuati i trattamenti. Ogni incaricato, di solito, se non ha una postazione fissa aziendale, passa i dati anche sul proprio cellulare, un tablet, il computer di casa e qualche memoria portatile; oltre a ciò deve tenere presente le possibili modalità di connessione e pensare come istruire il proprio personale sui rischi di accedere alle banche dati aziendali da remoto. Molti attacchi andati a buon fine hanno colpito lavoratori in smart working.

Un ulteriore aspetto che non viene preso in considerazione è quello della catena dei fornitori e delle relative responsabilità in merito ai cloud e ai server. Molti imprenditori non sanno dove saranno materialmente conservati i dati di cui sono titolari, in quanto si affidano totalmente al fornitore di servizi informatici e gestionali mediante contratti di software as a service che, a loro volta, derivano da un contratto tra lo sviluppatore e un’azienda che offre spazi e domini forse neppure nello spazio europeo. Dovranno essere questi ultimi due poi a preoccuparsi di proteggere gli accessi a questi spazi, ma il titolare del trattamento che li usa, e il cui personale è verosimilmente quello che vi ha accesso, deve essere consapevole anche qui dei rischi cui può far incorrere la propria azienda. Si tratta di osservazioni basilari che, tuttavia, costituiscono il primo step per poi individuare le corrette procedure che devono muovere dalla raccolta del dato e la successiva conservazione fino alla sua cancellazione dagli archivi quando non sarà più necessario tenerli.

Allo stesso modo la tipologia dei dati è la chiave guida per decidere quali siano le misure di sicurezza più adeguate: lo scorso anno i dati sanitari sono quelli che hanno subito il maggior numero di attacchi e, di conseguenza, gli operatori del settore sanno che devono prestare una maggiore attenzione in quanto più esposti, ma anche le PEC di molte categorie professionali, iniziando da quelle degli avvocati, hanno sollevato l’attenzione dei pirati informatici.

Le ragioni della perdita di dati possono essere fisiche quali un computer danneggiato o un antivirus che non funziona; umane e sappiamo che gli errori materiali degli operatori causano oltre il 75% dei data breach, dallo smarrimento di un cellulare all’apertura di una mail contenente visus o phishing. Infine possono esservi cause organizzative, vale a dire un processo errato nella sua esecuzione o organizzazione. Tutti questi fattori di rischio devono essere oggetto di valutazione preventiva.

Ultima, ma non certo meno importante, è la predisposizione di una procedura in caso di data breach: il recupero dati perduti non è la soluzione, ma solo il primo dei problemi da affrontare dopo che sarà stato comunicato al Garante, per i suoi provvedimenti, il problema.