Risk Assessment : Come proteggere la privacy dei dati personali

125
privacy e dati personali
adv

Che il nuovo regolamento sulla privacy abbia messo in chiaro le misure di adeguamento delle imprese facenti parte dell’Unione Europea è cosa nota, tuttavia è giusto rimarcare un aspetto che non deve affatto essere sottovalutato, se si vuole evitare qualunque tipo di sanzione; stiamo parlando della perdita dei dati ovvero della loro protezione.

Non è una novità leggere, tra i vari mezzi di comunicazione, notizie relative alla perdita dei dati personali di utenti da parte di aziende vittime di hackeraggio (un esempio recente riguarda Uber, nota applicazione che permette il noleggio di auto con la presenza di autisti, una sorta di servizio taxi) che, oltre al danno, son state costrette a pagarne le conseguenze, pagando alte somme di denaro.

Questi eventi, non rari, devono far riflettere le aziende su come evitare che ciò possa accadere, che sia la prima volta o in seguito a trafugamenti passati, e su come realizzare quello che viene definito: il risk assessment; fondamentalmente si tratta di analizzare tutti i possibili rischi che possono derivare dalla trattazione dei dati, capire quali conseguenze possono devirare e in che percentuale (secondo un calcolo delle probabilità), a quel punto trovare la soluzione per eliminarli, se possibile, o ridurre al minimo il rischio.

Proteggere i dati personali degli utenti, nel rispetto della privacy, è quindi aspetto fondamentale di estrema delicatezza e bisogna applicare qualunque metodo per far si che questi non vengano divulgati, rubati, perduti.

Spesso, però, la diffusione dei dati avviene per cause imputabili a negoziazioni  fatte da noi stessi; basti pensare ad un qualunque acquisto, che sia per il possesso di un bene o per poter utilizzare un servizio, che comporta la stipulazione di un contratto. Questo aspetto porta, inevitabilmente, terze parti ad entrare in possesso dei nostri dati.

All’interno del nuovo regolamento sulla privacy, l’ormai noto Gdpr (General Data Protection Regulation) , viene messa in luca quella che è definita “cyber security”; sostanzialmente si tratta della strategia, che utilizzano le imprese, per evitare rischi aziendali legati ai dati dei propri utenti, in ambito tecnologico.

Per questo motivo, nel Gdpr, spicca la privacy by design che, seguendo il concetto di cyber security, obbliga le imprese a trattare i dati con massima cautela già dalla fase di progettazione (vale a dire dal primo step che porterà alla finalizzazione dello scopo per il quale son serviti i dati degli utenti).

Cyber security, attraverso la privacy by design, per un buon risk assessment dovranno evitare che le aziende possano incappare nel data breach; ma in cosa consiste? E’ quel momento in cui i dati trattati, quelli personali, vengono rubati, copiati, perduti, hackerati da una terza figura senza il consenso dell’interessato e senza il coinvolgimento diretto dell’impresa.

L’eventuale manifestarsi di un caso di data breach, che può manifestarsi in vari casi, è sicuramente molto grave per l’azienda che dovrà immediatamente contattare il Garante, in tempi brevissimi, e ovviamente l’utente vittima dell’incidente.

Ma quali, e quanti, sono i casi di data breach e quindi quanto è difficile per un’azienda riuscire ad inquadrare la situazione attraverso il risk assessment? I casa di data breach sono quattro, ognuno per un ambito ben preciso.

Il primo è quello più comune e riguarda l’ambito finanziario (parliamo di violazione di dati attraverso i vari conti correnti, le carte di credito, ecc.); un altro ambito è quello personale (che quindi coinvolge i dati del codice fiscale o della carta d’identità, per esempio); il terzo ambito coinvolge la proprietà industriale (aspetti riguardanti la vita aziendale e che concerne un trafugamento di lista clienti o di documenti interni all’impresa di estrema segretezza); ultimo ambito è quello sanitario (vale a dire divulgati in seguito a malattie, operazioni sanitarie e tuto ciò che può riguardare la salute personale degli utenti).

Naturalmente tutti questi aspetti, che abbiamo visto possono toccare ambiti diversi e quotidiani, non rendono semplice il compito dei titolari delle imprese nel tracciare un risk assessment con semplicità; spesso può capitare che sia un membro interno all’azienda ad esternare i dati della clientela a terzi, in seguito a cattivi rapporti interni, mettendo in difficoltà la propria dirigenza, i propri colleghi e danneggiando la privacy di comuni cittadini.

Come detto, però, non è l’unico caso, anche gli hacker sono fonte di forte rischio aziendale, per quanto riguarda i dati personali (e forse sono la maggior criticità nella società attuale), cosi come può esserci un semplice furto dovuto alla dimenticanza di apparecchi elettronici contenenti i dati degli utenti o, ancora, la perdita può avvenire in modo accidentale, con lo smarrimento di supporti che contengono tutti dati riservati. Importante è, comunque, sempre comunicare al Garante la perdita, il furto e lo smarrimento dei dati, altrimenti le sanzioni non potranno essere evitate.

Quindi una volta capito quali sono i rischi, le fonti che possono essere pericolose (ad esclusione dei propri dipendenti che sono cause non prevedibili ma soltanto potenziali), ragionato su come eliminarle, attuata una giusta strategia di cyber security, il titolare dell’azienda dovrebbe avere chiaro in mente la linea da seguire per rendere, di conseguenza, il risk assessment efficace ed efficiente; infatti soltanto la consapevolezza di ciò che si fa può portare dei risultati ed, in questo caso, evitare dei futuri problemi (non di poco conto considerando la delicatezza di ciò che si tratta in azienda per finalità proprie).

Possiamo dire, quindi, che un risk assessment fatto bene è un apripista per una trattazione di dati personali senza rischi di furti, senza la paura che un hacker possa divulgarli e che darà maggiore tranquillità a chi opera nell’impresa e per chi si troverà ad entrarci in contatto.