DPO Anonimi (Lettera #4): GDPR e Sale Bingo

Spettabile Redasione integerrima, estremamente competente e, soprattutto, notoriamente inflessibile (e incorruttibile) della DPO Anonimi, buongiorno!

Mi chiamo Ugo. Per gli amici Iug. Come Iug Grent.

Sono il DPO di un locale per il Bingo, le bocce, la tap dance, la sumba e i tornei di maraffone e di magiòn nella bassa Romagna.

Le allego all’uovo, nel caso fosse interessato, la nostra tessera VIP, un masso di carte usato da Secondo Casadei in persona (a margine dell’asso di picche trova alcune parole da lui personalmemte annotate di Lasciatevi baciare e le prime note della Polca Atomica) e due cartelle tarocche della tombola omaggio, con già incollati i cecini nei numeri che usciranno.

Il nostro consulente legale ci ha detto che era obbligatorio anche per noi nominare un DPO. Ciò, è scritto nel suo parere anonimo che ho pagato in nero, perché: i) profiliamo i clienti, anche se a sorte, ii) diamo loro una tessera, iii) ogni sera, vista l’età media dei nostri avventori, muore qualcuno (dati sanitari), iv) vengono sovente smarrite dentiere (che nominiamo subito responsabili esterne) e v) i numeri che chiamiamo della tombola (soprattutto “90”, “60”, “90”) sono dati bio-metrici. Ed eccomi qui.

Ho letto con grande passione le lettere precedenti, e debbo dirvi che anche io, sin dal maggio del 2016, ho applicato sensa indugio tutti gli adempimenti previsti dal GDPR.

Per me è stato facile: mi manca la “z”, come a molti emiliano-romagnoli, e ho notato che, per fortuna, il Legislatore europeo è stato molto previdente e attento alle nostre esigense e tutti gli adempimenti (informativa, consenso, DPO, PIA, analisi del rischio, registro dei trattamenti),  sono sensa “z” tranne, e dico tranne, le importantissime “istrusioni agli autorissati” ai sensi dell’articolo 32 punto 4.

Ad oggi, pertanto, di adempimenti da fare, in caso di ispesione, ne ho rimasto solo uno: le istrusioni per i miei otto/dieci dipendenti.

Ho, nel mio esercisio commerciale, profili assai eterogenei: una barista, un buttafuori, un tisio che vende le cartelle della tombola regolarmente, uno che le vende in nero, l’addetto al guardaroba, l’addetto al parcheggio, l’orchestra con musica di Fausto Papetti tutta di sax con una scimmia ex Circo Orfei che balla sensuale (i “Sax and the Cita”), un merlo indiano (preso a Conselice) che legge i numeri e li grida ad alta voce, e cui ho insegnato anche altre frasi del tipo “ac bòta ed cùl” (“oh perbacco, fortunello!”) quando qualcuno fa tombola, e mia nuora che balla la tap dance (non è altissima) sul palco dei premi, tra motorini e prosciutti, e mentre balla tiene la carta di identità nel retro dei collant ed esibisce quindi dati personali perché già l’ha persa tre volte e al nostro Comune per rifarla ci mettono sei mesi perché la macchina per le fototessere se l’è portata a casa Duilio che ci ha fatto dentro un barbecue con le luci. Ma non voglio annoiarvi sul punto.

Vorrei evitare, se possibile, di redigere una polisy personalissata per ogni soggetto autorissato (mi scusi per la “z” doppia, ma anche singola, che mi manca anche nello scrivere, come avrà notato, oltre che nel parlare, e questa frase era particolarmente ostica per me), quindi sarei a chiedervi, per favore, una sola polisy per risolvere i problemi di tutti.

In particolare, vorrei una serie di istrusioni ai sensi dell’articolo 32 del GDPR sensa “z” perché poi a spiegare le istrusioni andrò io, e vorrei evitare di essere bullissato mentre spiego.

Vi ringrasio, e vi aspetto nel mio locale. Siamo aperti tutte le sere dell’anno tranne a Natale e l’ultimo dell’anno. Perché in quel periodo le tombole non vanno molto.

DPO Ugo Bingo

:: :: :: :: :: ::

Caro Ugo Bingo,

grasie, intanto, per la tessera VIP e le cartelle. Ci vedremo sicuramente.

E complimenti per la tua sensibilità. L’idea di fare una polisy in un contesto così critico come il tuo è più che opportuna e, soprattutto, la scelta di farla priva di “z” agevola non solo una parte di emiliano-romagnoli ma, anche, chi ha perso i due incisivi davanti o chi è semplicemente timido e ha paura di sputare alla prima fila mentre parla.

Non preoccuparti, siamo talmente bravi che non abbiamo problemi nel crearti una polisy ad ampio spettro. Sensa “z”.

Prendi nota, caro. Questa è tutta per te.

Regola n. 1. Identificare i dati dei clienti e custodirli con cura.

Caro Ugo, la prima regola deve riguardare obbligatoriamente, sempre, un controllo costante dei dati che trattate, in entrata e in uscita, e di chi possa accedere a tale vostro patrimonio informativo.

Ti consiglierei di dedicarti prima al cartaceo, che spesso è trascurato oggi che tutti hanno questa mania del digitale, perché immagino che in una realtà come la tua il cartaceo sia predominante, e poi potrai pensare all’elettronico.

I dati più delicati che hai, nel tuo contesto, sono le cartelle del bingo truccate, i bigliettini con i numeri all’interno della ruota per criceti che usi per estrarli, le impronte digitali sulle carte e l’elenco di tutti quelli che ti pagano in nero e che tieni appeso all’ingresso.

Lasciamo perdere i dati dei tuoi dipendenti perché li gestisci tutti in nero e quindi, per il GDPR, non esistono.

Ora, la prassi, per proteggere il cartaceo, è sempre stata quella di “custodia” e “controllo”: cassettiere, armadi, lucchetti e schedari.

Immagino però che tu voglia risparmiare, quindi ti consiglierei di usare, a tal proposito, il fosso del fiumiciattolo che passa dietro al Bingo e dove riponi, a fine serata, i prosciutti non vinti per tenerli in fresco per la gara del giorno dopo. Se mantieni il cartaceo sotto ai prosciutti, come un gigantesco panino, può essere un buon sistema di controllo.

Circa, invece, l’unico computer che hai e usi, un Olivetti M24 prima serie del 1983, è sufficiente che tu inserisca dentro al case mollati una decina di granchi di Comacchio. Provvederanno a mordere un eventuale intruso.

Circa la password, ti consigliamo di scegliere “7”. Sette è il numero magico della Romagna e di solito chi cerca di attaccare una password o fa tentativi con 1234, qwerty, pippo, admin, pastaefagioli2020 (ah no quella è la mia, scusa) e simili, o prova a premere “invio”, ma mai a nessuno, e dico a nessuno, potrà venire in mente che hai scelto come password 7.

Infine, per le tessere dei clienti che tieni in copia, beh, quello è l’elemento più grave, quindi ti consiglierei di metterle nel fienile dei due contadini che hanno i poderi di fianco al Bingo pagandoli per proteggerle con i forconi fino alla morte. Questo metodo si chiama autenticasione a due fattori. È perfetta per il tuo caso. Se hai necessità di un sistema ancora più sicuro, passa alla autenticazione a due fabbri.

Regola 2. La memorissasione dei dati dei clienti.

Caro Ugo, ti consiglierei di cifrare i dati dei tuoi clienti con modalità che siano semplici per te e, al contempo, incomprensibili per un estraneo attaccante.

Potresti usare il famosissimo Cifrario di Cesare (non QUEL Cesare, sia chiaro, ma il bensinaio che c’è sul ponte di Lugo, Cesare Pelliccioni il figlio di Bòmber, che usa il sistema ROT 3 perchè ha rotto la macchina tre volte di fila centrando il chiosco di piadine sul curvone di Massa perchè guidava in pianelle), che non si capisce mai niente di quello che dice.

Vai da lui, dì che ti mandiamo noi, e domandagli la chiave.

Attento, che la prima volta ci ha dato la chiave dei bagni.

Domandagli la chiave per interpretare il suo parlato. Il suo cifrario. E usa quel cifrario per rivolgerti ai tuoi clienti. Possibilmente non avvertirli, così non si riconosceranno nemmeno tra loro.

Regola n. 3. Il backup dei sistemi e dei dati.

Caro Ugo, come saprai sicuramente, l’ultima modifica di dicembre 2019 al GDPR ha introdotto, su suggerimento di Greta, l’obbligo di separare i dati anche durante il backup, proprio come i rifiuti.

Dovrai, quindi, dividere i dati umidi (raschiando via, ad esempio, l’umido dalle cartelle della tombola, o il sudore dalle carte da gioco) dai dati di plastica (le camicie cangianti di tuo cognato in acrilico) e pure dai dati di carta (e ne hai molti) e di vetro (l’occhio del bisnonno che riponi ogni sera nella spinatrice della birra).

Attento che le carte sudate e gli sputi per terra vanno, ovviamente, nell’indifferensiata.

Per il computer, puoi effettuare il backup a mano ogni sera annotando i cambiamenti ed eliminando i deceduti di quella sera.

Regola n. 4. L’antivirus e il firewall.

Caro Ugo, il tuo Olivetti M24 è al sicuro dai virus. Si sono ormai prescritti.

Stai solo attento a non scambiare floppy con sconosciuti.

Come firewall, nella tua Regione hai la fortuna di poter usare le rane. Un buon sistema può essere quello di circondare il tuo computer con delle rane, anche sulla tastiera, che salteranno non appena qualcuno cercherà di entrare nel tuo computer.

Vedi soltanto di non digitare troppo forte quando lavori sul computer insieme alle rane, perché le rane sono più buone al sugo.

Regola n. 5. I penetration test

Caro Ugo, il GDPR richiede un test costante (anche) da parte tua rivolto ai tuoi stessi strumenti di difesa.

Il modo più comune è di nasconderti il viso con un collant (vanno bene anche le autoreggenti) ed entrare all’improvviso nel tuo Bingo fingendo di essere un venditore di completi in pura lana di sartoria tre elementi a 149 euro.

Mentre vendi i completi, cerca di sbirciare e di vedere quanti dati tuoi riesci ad apprendere. Ti fai un auto-controllo, insomma.

Ricordati che queste cinque regole vanno spiegate, non devono rimanere lettera morta.

Facci sapere, Ugo caro, come è andato l’adeguamento dei tuoi istruiti.

Per incidenz, è stato un piacere, per noi, redigerti una policy priva di “z”

La Redasione della DPO Anonimi