GDPR (S01 E14): Policy e istruzioni

L'importanza di fornire regole

Per mantenere un quadro sicuro con riferimento alla protezione dei dati, di grandissima utilità – e suggeriti anche tra le righe del Regolamento – sono documenti contenenti istruzioni, regole o indicazioni di comportamento che possano orientare le attività di chi si trova quotidianamente a trattare dati.

La presenza, nella realtà produttiva, di soggetti che trattano i dati che siano istruiti dal titolare o dal responsabile comporta, di default, un innalzamento della sicurezza complessiva dell’ambiente, soprattutto se le regole sono presentate come stringenti e uniformi.

Tali regole possono riguardare, ad esempio, l’uso delle risorse informatiche (sia hardware e software, sia di rete), il corretto utilizzo della posta elettronica o degli spazi cloud, l’impostazione di una politica di ridondanza del dato che sia capace di fronteggiare ogni evenienza, la cifratura delle informazioni e degli archivi, una verifica costante degli antivirus, sino ad arrivare a vere e proprie politiche di sicurezza dettagliate.

Nell’ottica del GDPR e delle sue misure di sicurezza, importante sarebbe, innanzitutto, far comprendere il “peso” del dato, ossia evidenziare come non tutti i dati siano uguali e, quindi, non tutti debbano essere protetti allo stesso modo.

Il comunicare a chi tratta i dati che, in un’ottica di responsabilità e di rischio, un dato sanitario è, nella maggior parte dei casi, più delicato di altri e, di conseguenza, richiede un sistema di protezione più solido, porta lo “spirito” del Regolamento nel contesto produttivo.

Su questo punto, occorrerebbe insistere per far comprendere il ruolo cruciale che rivestono nella società tecnologica odierna la cifratura dei dati e la pseudonimizzazione. Sono due misure di sicurezza che si rivelano preziose soprattutto in caso di attacco agli archivi o in occasione di data breach, smarrimento dei dispositivi e altre esfiltrazioni non volute di informazioni.

Un secondo gruppo di indicazioni che dovrebbe essere veicolata tramite policy riguarda l’uso corretto degli strumenti informatici che sono consegnati a chi tratta i dati.

Per uso corretto, da un punto di vista della sicurezza, non s’intende soltanto un uso “etico” dello strumento tecnologico (ossia, ad esempio, non usarlo per scopi privati o per navigare su siti web non consoni alle mansioni lavorative svolte) ma, soprattutto, un uso che mantenga sempre i dispositivi e gli ambienti operativi aggiornati e sicuri, sia verificando la presenza di vulnerabilità nel sistema usato, sia non attivando (o disattivando) funzioni che possano aprire falle di sicurezza nel sistema stesso.

Molto utili sono anche istruzioni che riguardino l’uso corretto di risorse condivise, ad esempio cartelle in comune, spazi sul cloud o sulla rete aziendale, indirizzi di posta elettronica condivisi tra più soggetti.

Una “mappa” costante di dove siano, e di come circolino, i dati, con indicazioni precise su dove, e in che modo, memorizzare le informazioni, diventa al contempo essenziale per una governance efficace su tutti i dati trattati.

Una policy per la ridondanza del dato (ad esempio i backup) e un uso obbligatorio degli antivirus permetterebbe, d’altro canto, di poter fronteggiare le minacce più comuni che possono attentare alla riservatezza, all’integrità e alla disponibilità dei dati.

Gran parte dei problemi di sicurezza dei dati sono, oggi, cagionati da comportamenti errati, soprattutto in quelle realtà dove la componente tecnica è molto avanzata e, quindi, per definizione più sicura.

Nei contesti dove la sicurezza informatica è a un buon livello, sono numerosi i criminali che cercano di attaccare i comportamenti e la mente di chi tratta i dati, tentando di generare azioni sbagliate che aprano delle falle in sistemi altrimenti inviolabili.

Regole precise che vietino, ad esempio, di aprire allegati non attesi, di cliccare su link fraudolenti, di non rispondere a richieste di credenziali o di codici provenienti da (asserite) banche, servizi postali, società emittenti di carte di credito, sarebbero in grado di eliminare alla radice tutti quegli attacchi ai dati che cercano di arrivare all’accesso alle informazioni ingannando l’essere umano.

Il recente Regolamento non prevede espressamente la figura dell’incaricato come era prevista nel Codice Privacy e che prendeva la forma, in sintesi, di chiunque in un contesto aziendale o altro ente trattasse un dato. L’incaricato era solitamente istruito con regole e istruzioni precise, spesso per iscritto. Nel regolamento si indica espressamente l’obbligo per il titolare di “istruire” chiunque tratti dati all’interno della realtà produttiva. Il quarto Paragrafo dell’Articolo 32 sulle misure di sicurezza stabilisce chiaramente, infatti, che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. Questa figura del soggetto “istruito” al trattamento dei dati non può che essere creata attraverso delle regole impartite durante l’attività quotidiana.

Le regole possono essere spiegate in aula, con corsi ad hoc, per unire a un “freddo” documento scritto un’attività di chiarimento che rende tutta l’operazione molto più efficace.

Con l’evoluzione tecnologica, le regole vanno aggiornate, sia in base alle novità in ambito informatico che ogni giorno si presentano, sia in base a una valutazione del passato, riflettendo su errori o vulnerabilità/falle di sicurezza che si sono già manifestate.