I dati raccolti da un’impresa rappresentano un asset fondamentale per il suo
successo sul mercato. Questa necessità aziendale si trasforma in un obbligo di
legge quando ad essere raccolti, conservati o trattati in qualunque modalità sono
dati personali. Devono quindi essere adottate idonee e preventive misure di sicurezza, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.Se sono conservati in formato cartaceo potrebbe essere sufficiente mettere un lucchetto all’armadio o alla stanza dove sono archiviati documenti e fascicoli,nonché definire le regole a cui devono sottostare le persone che hanno la “chiave”per accedervi e per trattarli.
Se invece sono in formato digitale, come quelli trattati attraverso computer, tablet
o smartphone, è necessario applicare misure più complesse e adeguate al tipo di
rischio.
Misure minime
Il Codice prevede che per il trattamento dei dati è necessario che i titolari adottino
misure minime di sicurezza che garantiscano, ad esempio, in caso di trattamento
elettronico, la verifica dell’identità di chi accede al sistema (ad esempio, codici
identificativi personalizzati, password sicure), l’adozione di un apposito sistema
di autorizzazione che consenta attività predefinite, l’utilizzo di strumenti (come
antivirus aggiornati e altri software e sistemi di protezione) per impedire accessi
illeciti o abusivi.Occorre predisporre “copie di backup”, in modo da poter rendere nuovamentedisponibili dati e sistemi e definire misure di protezione particolari per i
dati sensibili, adottando tecniche crittografiche che non li rendano immediatamente
leggibili in caso di accessi illeciti.È parimenti importante, per la sicurezza dell’azienda e per la protezione dei dati personali, che il personale addetto a queste attività riceva
un’adeguata formazione e che le misure adottate siano aggiornate. Non sussiste più, invece, l’obbligo di predisporre un “documento programmatico sulla sicurezza
” che elenchi le misure adottate. Le imprese potranno comunque trarre beneficio da un monitoraggio frequente della propria privacy policy e delle misure adottate per proteggere i dati, mantenendo così sotto controllo la situazione.
Misure idonee
A volte, in base alla complessità tecnologica dell’azienda e al livello di rischio a cui
si è sottoposti, l’adozione delle misure minime di sicurezza potrebbe risultare non
sufficiente.
L’imprenditore (il titolare e i responsabili del trattamento), nel caso in cui a seguito
di violazioni dei dati sia chiamato in causa per un’azione risarcitoria in sede civile, dovrà affrontare le difficoltà derivanti dall’inversione dell’onere della prova, e dovrà essere in grado di dimostrare di aver adottato tutte le misure idonee atte a ridurre i rischi connessi al non corretto utilizzo dei dati.
Cloud Computing
Particolare attenzione deve essere prestata alla modalità con cui si adottano
innovazioni tecnologiche, come quelle offerte dal cloud computing, affinché le
eventuali opportunità di efficienza e risparmio non si trasformino in un rischio per
la sicurezza dei dati dell’impresa.
