Nei corsi di formazione che effettuo per le aziende e i liberi professionisti, sono solito ripetere che il Regolamento Europeo per la protezione dei dati ha una portata talmente ampia da colpire sia il piccolo negozietto presente sotto casa che la multinazionale con sede in una capitale europea: il GDPR, insomma, si applica sia nelle micro-piccole e medie imprese sia nelle grandi organizzazioni.
Tuttavia, ascoltando conferenze e convegni, o più semplicemente facendo delle ricerche su internet, non si può non notare uno scollamento tra ciò di cui gli esperti del settore parlano e la realtà del tessuto sociale all’interno del quale essi operano.
Indice degli argomenti
Il GDPR nella realtà territoriale italiana
Sicuramente conferisce un’aurea di autorevolezza parlare di criptazione dei dati, disaster recovery, business continuity, registri di log, reti VPN ecc., ma dimostra un’evidente distacco da un paese in cui l’utilizzo del contante è fondamentale, stante l’incapacità di utilizzare i pagamenti elettronici, dove il processo telematico ha sconvolto la categoria forense e dove l’introduzione della fattura elettronica e lo scontrino digitale ha scatenato una repulsione ostativa.
D’altronde non ci si deve dimenticare che l’Italia, come rilevato dal Rapporto Cerved del 2016, è un paese fatto di micro-piccole e medie imprese che rappresentano il 99,4% del sistema produttivo italiano, tra le quali, il 48% dichiara di non sentirsi a suo agio con gli strumenti digitali (indagine Doxa del 2017), il 24,4% ha adottato almeno una tecnologia 4.0 e solo il 7,9% prevede di introdurla entro il prossimo triennio (dati MISE).
Pertanto, a mio parere, quando si parla di privacy, è necessario non limitarsi ai giganti del tech ma riportare i principi cardini del GDPR anche alla realtà territoriale come il panettiere sotto casa che quasi sicuramente non sa cos’è un server, un NAS, un firewall ma scrive sui sacchetti il cognome e l’indirizzo della persona a cui deve essere consegnato il pane e magari, nei casi più particolari, che si tratta di un prodotto per celiaci.
Occorre ricordarsi che, nonostante il regolamento UE sia stato creato anche al fine di disciplinare le nuove tecnologie, essendo la precedente direttiva privacy del 1995, lo stesso è diretto a proteggere il trattamento dei dati personali delle persone fisiche (art. 1 GDPR) a prescindere dagli strumenti utilizzati per porre in essere il citato trattamento.
Il principio di accountability tra strumenti analogici e dati cartacei
Si rende necessario, quindi, porre l’accento non soltanto sulle risorse ITC ma anche sugli strumenti c.d. analogici e sui dati cartacei, perché anche un foglio di carta non adeguatamente conservato o distrutto può comportare una violazione della riservatezza, dell’integrità o della disponibilità di un dato.
A comprovare la volontà di ampliare il raggio di tutela del nuovo regolamento privacy vi è la rivoluzione copernicana posta in essere dal legislatore sovranazionale fondata sul principio di accountability (la dimostrazione di come viene esercitata la responsabilità e la sua verificabilità –Parere 3/2010 Gruppo di lavoro articolo 29) che ha smantellato l’apparato di tutele fondato sul concetto di misure minime di sicurezza tra le quali, le più significative erano: il backup a scadenza programmata, l’aggiornamento delle patch, l’installazione e l’aggiornamento degli antivirus, l’utilizzo di password eccetera.
Ad oggi, alla luce dell’art. 24 del GDPR, è il titolare del trattamento che, in ragione della natura, dell’ambito, del contesto, delle finalità e dei rischi, valuta e pone in essere le misure tecnico/organizzative adeguate a garantire un trattamento conforme.
Analogamente anche l’art. 32 del citato regolamento precisa che il titolare del trattamento mette in atto misure tecnico/organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto, delle finalità del trattamento e del rischio.
Appare evidente, quindi, che il Regolamento non mira a normare esclusivamente il trattamento posto in essere attraverso l’utilizzo di strumenti tecnologici, ma prende in considerazione qualsiasi tipo di trattamento a prescindere dagli strumenti utilizzati.
Pertanto, di fondamentale importanza è porre l’accento sui c.d. trattamenti cartacei, i quali, in un sistema economico come quello italiano, rappresentano la maggioranza dei trattamenti posti in essere da tutte le attività.
Il GDPR nelle micro-piccole e medie imprese: la Clear Desk Policy
Alla luce di ciò, di assoluta importanza è la diffusione del principio della Clear Desk Policy, dove con “desk”, ovvero “scrivania”, si intende sia quella del libero professionista o dell’ufficio pubblico, sia il bancone e lo scaffale di un negozio o il furgone che si utilizza per fare le consegne. Detta specifica policy è volta a ridurre la possibilità che le informazioni possano essere viste da persone non abilitate a conoscerle, anche solo occasionalmente, mantenendo gli spazi, di libero accesso, privi di dati.
Risulta ridondante concentrarsi unicamente sul backup settimanale quando la grande maggioranza delle attività italiana ignora il concetto di dematerializzazione. Più appropriato appare soffermarsi sulla corretta gestione di un archivio cartaceo, anche attraverso la realizzazione di un ampio e approfondito ragionamento sui dati archiviati e sulle ragioni alla luce delle quali viene effettuata l’archiviazione.
Solo quale conseguenza di una puntuale analisi si potrà determinare un’adeguata politica di data retention che non sia diretta alla conservazione di tutti i documenti cartacei per i canonici dieci anni, ma che miri a marginalizzare i rischi nel pieno rispetto dei principi di proporzionalità e minimizzazione.
Analogamente, di fondamentale importanza è l’instaurazione di procedure dirette a verificare periodicamente la congruità e la correttezza dei dati.
Il GDPR nelle micro-piccole e medie imprese: best practice di protezione dati
Nonostante sia molto aulico illustrare la necessità d’utilizzo di software per la cancellazione sicura e certificata dei dati digitale, di maggior impatto è il riferimento a pratiche di corretto smaltimento dei dati cartacei obsoleti con l’utilizzo di adeguati distruggi documenti. Ritenere, nel 2019, che sia sufficiente strappare i figli in quattro non può più essere accettabile, in quanto il dumpster diving è una delle principali forme di attacco, nonché una delle maggiori cause di data breach.
Occorre, inoltre, spiegare la pericolosità nell’utilizzo della carta riciclata, che può contenere dati che dovrebbero essere stati distrutti e aumentare il rischio di violare la riservatezza di alcuni interessati attraverso una comunicazione/diffusione accidentale.
E ancora, prima di parlare di password complesse, appare maggiormente utile illustrare le pericolosità sottese alla conservazione di dati in spazi aperti al pubblico o di facile accesso e, analogamente, pur ritenendo importantissimo parlare di criptazione dei dati, sicuramente apparirà più aderente alla realtà spiegare alle attività il concetto di minimizzazione dei dati, in modo da esportare all’esterno soltanto i dati realmente necessari.
Sicuramente i titolare del trattamento dovranno dotarsi di adeguate misure di sicurezza informatica, ma sino a quando noi esperti del settore non riusciremo a far capire che l’utilizzo di un buon antivirus è un’ottima misura adeguata ma non sufficiente se non si fa attenzione a come vengono gestiti i documenti cartacei o, più banalmente, le richieste orali di informazioni, la strada per una corretta sensibilizzazione sull’utilizzo dei dati personali e sulla loro protezione sarà ancora molto lunga.
