Indice
GDPR: per una ‘ecologia’ del dato personale.
Riguardo al GDPR, sino ad oggi l’attenzione si è concentrata su informative, autorizzazioni, moduli e consensi. Ma la protezione dei dati personali e sensibili va ben oltre le autorizzazioni e coinvolge tutto il processo di trattamento dei dati. La protezione fisica dei dati è uno degli elementi essenziali del GDPR. Per alcune periferiche è necessario utilizzare armadi con doppia chiave.
Per molti il GDPR è stato solo una seccatura, un costo aggiuntivo per un qualcosa di inutile, ma già la legge sulla privacy, la famosa ‘legge 675/96’, ci ha costretto a renderci conto che siamo responsabili dei dati personali che le persone ci affidano.
GDPR: alcune considerazioni
Il regolamento Europeo sulla Privacy (GDPR) porta alcuni elementi interessanti. Primo, la protezione dei dati personali è sancita come diritto fondamentale. Ognuno di noi ha diritto a pretendere che i propri dati vengano conservati in modo appropriato. Di conseguenza la mancata protezione adeguata da parte di qualcuno lede un diritto.
Il secondo punto è che il possessore dei dati deve poter dimostrare di avere fatto il possibile per conservare i dati in modo sicuro.
GDPR: accountability
L’autorizzazione al trattamento è un contratto: l’utente ci concede di trattare i dati e noi ci impegniamo ad usare in modo appropriato ed a garantire la protezione adeguata.
Una delle chiavi importanti di lettura del GDPR sta nel principio dell’accountability, parola inglese di difficile traduzione all’italiano, perché che include sia il concetto di responsabilità che la possibilità di ‘dimostrare’ (letteralmente rendicontare) quali siano le strategie implementate e le azioni effettivamente realizzate per la protezione dei dati. Include anche il monitoraggio delle possibili violazioni o errori che abbiano portato alla divulgazione o sottrazione di datti personali.
Anche questo è un elemento important, perché la corretta individuazione delle falle e di eventuali sottrazioni di dati personali e la tempestiva informazione resa agli utenti interessati, è fattore essenziale per le riduzione di eventuali sanzioni.
La protezione dati by design
Il mondo cambia in modo sempre più veloce, non è possibile per il legislatore prevedere tutti i possibili casi e prescrivere cosa fare, per cui chi opera con dati personali, anche se si tratta solo di nome, numero di telefono, indirizzo email, deve conoscere tutto il flusso di lavoro, ed evitare che vi siano rischi.
Una cosa deve essere chiara, non viene richiesto a tutti noi di creare strutture super sicure a prova di ladro professionista ai massimi livelli. Viene richiesto di dimostrare di aver fatto il possibile per proteggere i dati in modo adeguato. Ai grandi social network, come alle imprese che operano in ambito della sanità, verrà chiesto un livello maggiore di protezione.
Il concetto di Privacy By design implica conoscere tutto il flusso di vita del dato, dalla raccolta alla distruzione, e attivare una serie di azioni che ne garantiscano la sicurezza.
Fare il possibile: cosa significa?
Criptare i dati è certamente una delle prime cose da fare, in modo che se qualcuno riesce ad accedere ai file, non potrà leggerli con facilità, un po’ come chiudere le cose preziose in cassaforte. Può non esser sufficiente, ma è ben differente dall’aver lasciato tutti i gioielli sul tavolo dell’ingresso.
Mantenendo questo parallelo tra mondo digitale e mondo fisico, dovremmo domandarci: quante porte e finestre aperte abbiamo?
Tutti siano coscienti che non aggiornare i sistemi operativi, mantenere i dati in chiaro nei database equivale a lasciare la porta aperta e il pacchetto sul tavolo senza protezione.
Ma anche utilizzare dispositivi mobili senza password, terminali in rete aziendale sempre accesi, access point wi-fi non protetti o con bug conosciuti, sono elementi pericolosi del sistema.
L’ultimo anello: l’accesso fisico a dispositivi e cavi
Dobbiamo pensare anche all’ultimo anello del sistema informatico: i cavi e le periferiche.
Quante periferiche sono realmente custodite in ARMADI CON SERRATURA? Quante serrature vengono effettivamente chiuse? Chi ha accesso alle chiavi?
È necessario pensare anche alla protezione fisica, ed a una serie di azioni minime che ci portino a poter rispondere tranquillamente alla domanda: È stato fatto il possibile?
4Power: I nuovi armadi blindati con doppia chiave di sicurezza.
4Power ha adeguato alla propria produzione di Armadi Rack ai requisiti del GDPR aggiungendo una nuova serie di armadi da parete blindati, con porta in lamiera 15/10 e doppia serratura con chiavi a mappatura differente.
La doppia serratura è quando è richiesto l’obbligo della presenza di due figure per l’accesso ai dati, come ad esempio è previsto in molti accordi sindacali per la sorveglianza sui luoghi di lavoro, o in casi in cui debba esser presente un pubblico ufficiale.
Oltre agli armadi blindati I nuovi armadi GDPR compliant, sono anche disponibili in tutte le misure classiche della serie :
di armadi da parete GDPR compliant 19” RAL 7035
Armadi da parete GDPR compliant (Nero) e RAL 9004:
- Versione 450mm di profondità, 6, 9, 12, 15 e 18 unità.
- versione 600mm di profondità 12, 15 e 18unità.
- Porta anteriore cieca.
- Doppia serratura con chiavi a mappatura diversa.
- Pareti laterali con blocco interno di sicurezza.
- Predisposizione per sensore di apertura.