Nessuna società desidera che la lista dei propri clienti, i propri contatti, i dati personali dei propri impiegati e dirigenti, le fatture, la posta interna o persino i propri segreti industriali (piani di sviluppo, dettagli di brevetti…) finiscano nelle mani della concorrenza o di qualche malfattore. I dati raccolti da un’impresa rappresentano infatti un asset fondamentale per il suo successo sul mercato.
Questa incomprimibile necessità aziendale si trasforma in un obbligo di legge quando ad essere raccolti,conservati o trattati in qualunque modalità sono dati personali.
Devono quindi essere adottate idonee e preventive misure di sicurezza, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Bastano talvolta poche azioni per mettere al sicuro questi beni tra ipiù preziosi che l’azienda detiene ma che si riferiscono ad altre persone.
Se sono conservati in formato cartaceo potrebbe essere sufficiente mettere un lucchetto all’armadio o alla stanza dove sono archiviati documenti efascicoli, nonché definire le regole a cui devono sottostare le persone che hanno la “chiave” per accedervi e per trattarli.
Se invece sono in formato digitale, come quelli trattati attraverso computer, tablet o smartphone, è necessario applicare misure più complesse e adeguate al tipo di rischio.
Misure minime
Al di là di prescrizioni ad hoc per settori particolari, il Codice prevede che per il trattamento dei dati è necessario che i titolari adottino misure minimedi sicurezza che garantiscano, ad esempio, in caso di trattamento elettronico, la verifica e la convalida dell’identità di chi accede al sistema (identificativi personalizzati, password sicure…), l’adozione di un apposito sistema di autorizzazione che consente solo specifiche attività predefinite, l’utilizzo di strumenti (come antivirus aggiornati e altri software e sistemi di protezione) per impedire accessi illeciti o abusivi che mettano a rischio l’integrità e la confidenzialità del dato personale.
Bisogna poi essere pronti a gestire situazioni di crisi, ad esempio predisponendo “copie di backup”, in modo da poter rendere nuovamente disponibili dati e sistemi. Occorre anche definire misure di protezione particolari per i dati sensibili, magari adottando tecniche crittografiche che non li rendano immediatamente leggibili in caso di accessi illeciti.
Il settore informatico è in rapida e costante evoluzione, è quindi importante, per la sicurezza dell’azienda e per la protezione dei dati personali, che il personale addetto a queste attività riceva un’adeguata formazione e che le misure adottate,per non perdere di efficacia, siano aggiornate nel tempo.
È venuto recentemente meno, invece l’obbligo di predisporre un “documento programmatico sulla sicurezza” che elenchi le misure adottate. Le imprese potranno comunque trarre beneficio da un monitoraggio frequente della propria privacy policy e delle misure adottate per proteggere i dati, mantenendo così sotto controllo la situazione.
Per facilitare la normale attività svolta presso liberi professionisti, artigiani e piccole e medie imprese, il Garante ha previsto che le misure minime possano essere applicate in forma semplificata nel caso in cui i dati personali siano trattati unicamente per correnti finalità amministrative e contabili. Sono state semplificate anche le misure di sicurezza dei soggetti che trattano solamente dati sensibili connessi alla gestione operativa del rapporto di lavoro (malattia, partecipazione ad attività sindacali).
Misure idonee
A volte, in base alla complessità tecnologica dell’azienda e al livello di rischio a cui si è sottoposti, l’adozione delle misure minime di sicurezza potrebbe risultare non sufficiente.
L’imprenditore (il titolare e i responsabili del trattamento), nel caso in cui a seguito di violazioni dei dati sia chiamato in causa per un’azione risarcitoria in sede civile, dovrà affrontare le difficoltà derivanti dall’inversione dell’onere della prova, e dovrà essere in grado di dimostrare di aver adottato tutte le misure idonee,in base allo stato dell’arte, a ridurre -per quanto possibile – i rischi connessi al non corretto utilizzo dei dati.
In ogni caso, l’Autorità può indicare anche di propria iniziativa le misure opportune o necessarie per far sì che un determinato tipo di trattamento sia conforme alla normativa sulla privacy.
Per rendere tracciabili certe operazioni come quelle effettuate su dati bancari o informazioni fiscali, può ad esempio essere previsto l’obbligo di adottare specifici sistemi di monitoraggio con alert automatici che segnalino intrusioni, accessi o comportamenti anomali o tali da configurare eventuali trattamenti illeciti.
Cloud Computing
Deve essere prestata particolare attenzione alla modalità con cui si adottano innovazioni tecnologiche, come quelle offerte dal cloud computing, affinché le eventuali opportunità di efficienza e risparmio non si trasformino in un rischio per la sicurezza dei dati dell’impresa.
L’Autorità, proprio per facilitare una scelta consapevole delle aziende,ha pubblicato sul proprio sito Internet guida sull’uso di queste nuove tecnologie.
Rifiuti tecnologici
Il Garante ha anche segnalato alle imprese i rischi, spesso sottovalutati,che possono emergere da un non adeguato smaltimento di apparecchiature elettriche ed elettroniche come hard disk, chiavi di memoria, dischetti, vecchi telefoni cellulari, tablet o smartphone. Questi apparati possono infatti contenere grandi quantità di dati personali che, se non opportunamente cancellati prima dello smaltimento, possono essere poi recuperati da malintenzionati o da persone che comunque non hanno diritto di accedervi. L’Autorità ha quindi fornito consigli e indicato le opportune misure tecniche che devono essere adottate per la memorizzazione (come l’utilizzo di tecniche di cifratura) o la cancellazione sicura (ad esempio con l’uso di appositi software o con la distruzione fisica dei supporti) dei dati riservati di un’impresa.
