La particolare complessità introdotta dalla normativa sulla protezione dei dati personali (Regolamento UE n. 679/2016) ha generato molta incertezza tra le imprese chiamate ad applicarla. Tale incertezza può portare a commettere errori che possono risultare costosi sia in termini monetari, che di reputazione per le imprese interessate.
Il contributo raccoglie 3 errori frequenti in cui si è soliti incorrere in tema di protezione dei dati e offre alcuni consigli su come correggerli.
Mantenere i dati personali perché potrebbero servire in futuro
Disfarsi dei documenti contenenti dati personali in modo inesatto
Mantenere i dati personali perché potrebbero servire in futuro
Durante lo svolgimento di un’attività imprenditoriale o professionale si è soliti acquisire una moltitudine di dati personali relativi a clienti, fornitori e collaboratori. Invece di procedere alla loro distruzione una volta che il servizio è stato offerto o la collaborazione è terminata, spesso si tende a mantenerli perché potrebbero servire in futuro.
Oltre che antieconomica perché richiede di devolvere preziose risorse per la loro archiviazione in sicurezza, tale pratica si pone in netto contrasto con la normativa sulla privacy. Questa, infatti, impone al titolare del trattamento di non conservare i dati personali per un tempo superiore a quello necessario per il conseguimento delle finalità per le quali questi sono trattati (principio di limitazione della conservazione – art. 5 (1)(e) GDPR).
Come rimediare
Per assicurare che i dati personali non vengano conservati per un periodo superiore a quello necessario è fondamentale redigere una policy sulla conservazione dei dati (data retention policy). Essa potrà essere utile per definire i periodi di conservazione delle diverse categorie di dati personali trattati. Dei periodi di conservazione dovrà essere data comunicazione agli interessati nell’informativa sul trattamento dei dati personali.
Anche se la policy sulla conservazione dei dati non è obbligatoria, essa facilita la verifica periodica sui dati personali che il titolare del trattamento è tenuto ad effettuare per la cancellazione di quelli che non sono più necessari (considerando 39 GDPR).
Disfarsi dei documenti contenenti dati personali in modo inesatto
Nelle piccole imprese e studi professionali spesso mancano specifiche linee guida in tema di distruzione dei documenti contenenti dati personali. Può accadere quindi che i documenti cartacei contenenti dati personali vengano gettati via senza adottare le giuste precauzioni, con il rischio di incorrere in una violazione dei dati personali. Lo stesso può avvenire con i documenti digitali qualora si cancellino i file in modo inefficace e si operi la dismissione dei dispositivi che li contengono.
Come rimediare
Prima di disfarsi dei documenti cartacei, accertarsi di aver anonimizzato i dati personali in essi contenuti. Se questo non fosse percorribile in ragione del numero dei documenti da smaltire, si potrà investire in un tritadocumenti idoneo a distruggere i documenti in modo tale da non rendere possibile risalire al loro contenuto.
Qualora si smaltissero documenti informatici, è consigliabile investire in software capaci di eliminare definitivamente i file. Infatti, anche se i documenti venissero cancellati dal dispositivo, una copia dei file cancellati potrebbe essere recuperata mediante software specifici.
Non fare backup regolari dei propri dati
I dati relativi a clienti, fornitori e collaboratori costituiscono una risorsa importantissima per le imprese e professionisti. La perdita di questi dati, sia essa accidentale o dovuta ad attacchi informatici, non costituisce solo un data breach, ma potrebbe anche impedire di svolgere la propria attività imprenditoriale. Nonostante ciò, di questi dati viene spesso tenuta una sola copia.
Come rimediare
Dopo aver individuato la tipologia di dati da salvare, programmare il backup con cadenza anche giornaliera, o al massimo settimanale.
Assicurarsi che i dispositivi di salvataggio non siano sempre connessi alla rete aziendale per evitare che anche questi vengano infettati da eventuali attacchi informatici che potrebbero colpire tale rete.
Se si ricorre a servizi Cloud, leggere attentamente le condizioni del servizio e accertarsi che questi siano in linea con le necessità aziendali.
Per tutte le realtà imprenditoriali, siano esse piccole, medie o grandi, è sempre consigliabile redigere un piano di continuità operativa che consentirà di ripristinare velocemente l’attività dopo l’interruzione dovuta ad eventi dannosi.
Considerazioni conclusive
Ogni strategia di sicurezza informatica non può non tenere in considerazione il firewall umano. È indispensabile quindi che tutti i dipendenti comprendano l’importanza che riveste la protezione dei dati personali e siano in grado di riconoscere quali errori evitare. La corretta preparazione del proprio personale permette, infatti, di ridurre i costi legati agli attacchi informatici, tra cui quello di reputazione.