L’UFFICIO CHE PROTEGGE I DATI

Quando pensiamo alla protezione dei dati, la mente corre subito all’informatica: oggi la nostra realtà è fatta di dispositivi elettronici che in pochi attimi ci mettono in comunicazione con tutto il mondo, amplificando i rischi che i dati e le informazioni possano essere carpiti e diffusi, con tutte le conseguenze che questo comporta, in termini di violazione della privacy e di perdite anche economiche (soprattutto se i dati riguardano le aziende, ma anche gli enti pubblici, nell’eventuale ipotesi di risarcimento del danno conseguente ad un data breach).

In realtà, la protezione dei dati inizia da una tutela fisica delle informazioni e dalla forma mentis del personale di un ente o di un’azienda. Il GDPR (alias Reg. U.E. 2016/679), infatti, non a caso parla di audit (art. 42), codici di condotta (art. 40), archivi (art. 2), et cetera: tutti concetti che focalizzano l’attenzione sul comportamento umano nella tutela quotidiana di dati ed informazioni.

In effetti, i sistemi informatici sono regolati dagli specialisti del settore: allarmi, firewall, antivirus funzionano bene quotidianamente ed hanno validi professionisti che se ne occupano; l’elemento umano, invece, va formato ed educato alla tutela dei dati in suo possesso, altrimenti può vanificare, persino a causa di una piccola negligenza, anche il più complesso lavoro elettronico.

Innanzi tutto, stabiliamo un concetto di fondo: la segretezza è d’ obbligo.

Ancor prima della normativa sulla tutela della privacy e sulla protezione dei dati, il nostro ordinamento giuridico conosce:

  • il segreto professionale
  • il segreto d’ufficio
  • il segreto istruttorio
  • il segreto industriale

Che cosa ci suggeriscono questi obblighi, ognuno applicato in ambiti diversi dei vari settori lavorativi?

Che non bisogna parlare di informazioni riservate in luoghi pubblici (talvolta, neanche in luoghi privati) e con persone non giuridicamente titolate a ricevere determinate informazioni!

Orecchie indiscrete potrebbero sempre carpire dati ed informazioni e, soprattutto oggi che la tecnologia mette a disposizione smartphone corredati di registratori e videocamere, diffonderli per interesse, superficialità, divertimento o altro.

Abbiamo, sopra, accennato agli archivi, ivi comprendendo anche quelli cartacei, di cui il GDPR si occupa necessariamente, dal momento che l’accezione di “archivio”, di cui all’art. 2, co. 1, è onnicomprensiva. Chi lavora in un qualsiasi ufficio, di solito, tiene le pratiche sulla scrivania, sotto gli occhi di tutti gli avventori (questo vale soprattutto per chi riceve il pubblico, sia sempre che in determinate ore del giorno o della settimana); oppure, non ripone i documenti, alla fine della giornata lavorativa, in un armadietto blindato o chiuso a chiave (ben nascondendo la chiave, s’intende), lasciando le carte sotto gli occhi delle donne delle pulizie che, di solito, la mattina entrano negli uffici prima degli impiegati, tanto per fare un paio di esempi…

E quante volte vengono dimenticate le stampe sulle fotocopiatrici o si gettano nella spazzatura dei documenti importanti, senza che prima siano stati distrutti con l’apposito apparecchio che li spezzetta? Sono tutte informazioni contenenti dati personali che chiunque, al di fuori dei luoghi di lavoro, potrebbe raccogliere e diffondere.

Come vediamo, il problema non è di poco conto e può essere utile un pro-memoria fatto di semplici accortezze che permettano una miglior tutela dei dati anche a chi non dovesse conoscere approfonditamente la relativa disciplina giuridica. Vediamone qualcuna:

  • Perimetrazione aziendale: controlli, all’ingresso dell’ente o dell’azienda, su chi entra (nelle modalità possibili, con uscieri o telecamere, per es., e secondo legge);
  • Scrivania: le pratiche da trattare andrebbero tenute in una cartellina priva di riferimenti sul frontespizio oppure pseudonomizzate (ossia, contrassegnate da un codice trascritto sul frontespizio, la cui corrispondenza ai dati veri andrebbe annotata su di un registro o un file tenuti ben protetti); altrimenti, in presenza di estranei, bisognerebbe avere almeno l’accortezza di girare gli atti, esponendo agli occhi altrui solo il retro bianco dei fogli. Inoltre, alla fine della giornata di lavoro, come suggerito sopra, mettere le pratiche in un luogo chiuso ed inaccessibile sarebbe una buona prassi.
  • Computer: evitare di scrivere la password d’accesso su un post it attaccato sul monitor o su di un foglio messo in evidenza sotto la tastiera; non aprire le email sospette o quelle che provengono da qualcuno che, pur se di nostra conoscenza, non ci ha mai scritto, tanto più all’indirizzo di posta elettronica dell’ufficio; cambiare, ogni tanto, le password di accesso al PC, ai file ed alle applicazioni è un’altra buona regola di prevenzione.
  • Pause pranzo, pause caffè: chiudere, almeno, a chiave le stanze per il periodo di assenza.
  • Eliminazione hardware: quando si rende necessario sostituire una fotocopiatrice, un apparecchio fax, un PC, in sintesi tutti gli strumenti con una memoria elettronica o un disco rigido, bisogna prima procedere alla loro formattazione (che il tecnico deve fare in nostra presenza) oppure all’estrazione del disco rigido, che deve esserci consegnato dal tecnico: in questo modo si eviterà che chiunque, accendendo le apparecchiature dismesse, possa leggervi i dati e le informazioni ancora rinvenibili.
  • Telefoni, smartphone e tablet: se collegati al sistema aziendale, andrebbero protetti con buoni antivirus.
  • Smart tv, telecamere wireless: se collegate ad Internet, necessitano di protezione adeguata.

Naturalmente, quelli appena visti sono solo alcuni dei suggerimenti che si potrebbero dare: in realtà, ognuno dovrebbe valutare, caso per caso, anche le peculiarità del proprio lavoro e della sede del proprio ufficio, per trovare modi più efficaci di protezione dei dati (in base al principio di accountability (art. 24 GDPR), il titolare del trattamento dati ha l’obbligo di adottare le modalità più adeguate alla protezione, con l’onere di provare (in caso di diffusione illecita di dati) che l’evento sia stato determinato da cause fortuite e non prevedibili. Pertanto, il buon senso, l’attenzione e la prudenza sono i requisiti basilari per un’efficace protezione dei dati e della privacy.


Contattaci

Hai domande, desideri informazioni, inviaci una mail e ti risponderemo al più presto.

Sending

©2019 IPS - I Professionisti della Sicurezza - Cod. Fisc. 93209680870 - il portale di informazione e formazione dal mondo della sicurezza

or

Log in with your credentials

Forgot your details?