Archivio per categoria: Articoli

 

Scritto da Alfredo Visconti Presidente ANDIP

 

E’ ormai di uso comune la definizione delle informazioni personali come il nuovo petrolio, per evidenziare il valore economico e di conoscenza che questi dati, anche grezzi, hanno come merce di scambio in un mercato spesso invisibile agli occhi degli utenti finali.

Il valore di questi dati per singolo set di dati valgono in media pochi euro, ovviamente però il vero valore, anche qui economico e conoscitivo, sta nella quantità e qualità, le aziende acquistano database dai data broker in blocchi di migliaia, se non milioni di dati elaborati.

Ancora a qualcuno potrebbe nascere spontanea la domanda sul perché comprare questi set di dati. La risposta è di una semplicità disarmante ma soprattutto sta nelle attuali regole di mercato, tutto dipende da cosa ci si vuole fare, il loro vero valore ed il loro peso rispetto al mercato sta nella capacità di descrivere persone e gruppi di persone prevedendone comportamenti, caratteristiche ed usi effettuando quindi una profilazione il più attendibile possibile. Come è facile intuire maggiori sono i dati di cui si entra in possesso maggiore sarà l’attendibilità di questi stessi dati facendo si che la precisione in investimenti sia sempre maggiore.

Solo per facilitare la comprensione fra la raccolta e l’utilizzo poi di terze parti basti pensare a Google, Facebook, linkedin e cosi via che effettuano una grande raccolta di dati proprietari anche al fine di offrire ai propri, e non solo, inserzionisti una segmentazione accurata ed efficace, che permette di creare campagne di marketing o semplici visualizzazioni di banner, specifici e dettagliati per quel determinato utente. Per ampliare il discorso ed uscire dalla gestione dei social network, basti pensare che lo stesso ragionamento appena sviluppato e valido anche per altri settori come ad esempio del settore assicurativo, aziende di credito, aziende sanitarie che nello specifico utilizzano i dati per prevedere il livello di rischi e configurare in modo preciso il cliente.

Spieghiamo che abbiamo parlato di broker di dati che è colui che compra e rivende dati offrendo un servizio fondamentale per chi acquista, in questo caso infatti i dati che si acquistano non sono grezzi, ma aggregati ed elaborati in modo da poter essere utilizzati immediatamente. Praticamente chi acquista non acquista dati ma acquista informazioni.

Per capire meglio la differenza fra dato ed informazione basta un semplice esempio:

dati 19652412, M32A20, MAIL questi sono i dati cosi come vengono letti da una interrogazione su un database. La lettura non fa trapelare nulla chi li legge non sa interpretarli ne quindi tantomeno dargli un significato.

Informazioni lavorando sui dati prima segnalati e attraverso le opportune conoscenze si può ottenere la traduzione ed il dignificato di quei dati, quindi l’informazione e nello specifico vediamo che abbiamo

Mail per indicare cosa utilizzare come username

1965242 sono i dati da indicare come password

M32A20 indica la matricola del lavoratore da utilizza come ulteriore componente della password.

 

Siamo passati da valori insignificanti al valore di una informazione ben precisa.

 

Stabilito adesso ove mai ve ne fosse bisogno l’importanza dei dati trasformati in informazioni, chi li raccoglie, chi li vende e chi li usa vediamo come anche il più attento di noi dissemina dati personali, anche sensibili sulla rete, lasciano questi alla mercè di tutti.

Per capire ed immaginare come tutto succede rendiamoci conto che di dati personali ne condividiamo ogni giorno in grande quantità anche e soprattutto a prescindere spesso dalla nostra volontà di comunicarli. Purtroppo il famoso principio di proporzionalità nella raccolta dei dati resta ancora per tante aziende un eufemismo al quale l’utenza si è dovuta piegare se voleva il servizio richiesto. In una giornata tipo rilasciamo dati a causa di dati di registrazione su siti web, compagnie telefoniche, pagamenti bancomat o con carte di credito, richieste di fatture elettroniche, servizi Internet per poi continuare quando siamo in movimento con dati rilasciati in strutture alberghiere, pedaggi autostradali, servizi gps e si potrebbe continuare …. Il tutto diventa molto pericoloso, ma soprattutto senza nessun controllo o quasi se pensiamo che stiamo parlando di  dati che vengono comunicati attraverso smartphone e  telefoni purtroppo spesso  senza che neanche ce ne accorgiamo.

Adesso dobbiamo ragionare seriamente sul come questi dati vengono messi in sicurezza al momento dell’utilizzo, precisando subito che questo livello di attenzione da i suoi risultati solo se capiamo che oltre i software di protezione occorre determinare delle regole comportamentali precise.

Ripartiamo quindi dalle informazioni che vengono raccolte ad esempio tramite i nostri telefoni cellulari:

1. Dati sulla posizione tramite la geolocalizzazione
2. Dati di navigazione tramite i cookie
3. Registrazione su app e siti
4. Invio di mail con e senza allegati
5. Dati e file personali sul telefono mediante le autorizzazioni delle app

Non possiamo certo vederle tutte nel dettaglio queste attività però spendiamo qualche parola su qualche caratteristica importante di queste 5 tipologie.

Ad esempio tutte e 5 le possibilità appena citate offrono servizi gratuiti, questo perché in un mondo come questo di oggi dove tutto si paga senza questa gratuità molti di noi non rilascerebbero i propri dati.

A titolo di esempio la geolocalizzazione – La geolocalizzazione è la tecnologia GPS (dall’inglese Global Positioning System, ovvero “sistema di posizionamento globale”) integrata nei dispositivi mobili (Android, iOS e Windows Phone) che permette di determinare la posizione geografica di una persona in base, ad esempio, al suo smartphone. Tanto ciò detto tradotti in soldoni chi raccoglie i nostri dati sa sempre dove ci troviamo, se abbiamo percorsi particolari, con che cadenza effettuiamo determinati giri e lavorando di immaginazione ……

Oppure le autorizzioni sulle app dove senza nemmeno accorgercene concediamo l’accesso ai nostri file, alle nostre foto e alla rubrica del telefono, le app scaricano sui propri server tutte le questa mole di informazioni, che poi vengono, elaborate e rivendute come precedentemente detto.

Da quanto appena detto tiriamo le fila e cerchiamo di proteggerci attraverso alcuni passaggi non necessariamente informatici, come:

• Prestare la dovuta attenzione alle autorizzazioni delle app, sia in fase di registrazione sia in fase di utilizzo.
• Verificare la proporzionalità delle informazioni richieste e delle autorizzazioni che si concedono quando si utilizzano servzi online, se sono richieste troppe informazioni rispetto al servizio meglio soprassedere.
• Accertarsi che nelle mail inviate e ricevute il testo ed eventuali file allegati siano adeguatamente protetti si pensi che il Garante a più volte esplicitato che “L´acquisizione e l´utilizzazione di indirizzi e-mail a scopo promozionale, senza la previa acquisizione di un informato consenso degli interessati, integra un ripetuto illecito trattamento di dati personali che giustifica la sospensione temporanea di ogni trattamento, ad eccezione della mera conservazione dei dati personali detenuti (provvedimento di blocco temporaneo adottato nei confronti di una società convenuta in un procedimento avente ad oggetto l´invio di e-mail promozionali non richieste, dal quale sono derivati ulteriori accertamenti d´ufficio)” .
• Utilizzare una VPN verificandone le caratteristiche di protezione.

È importante essere consapevoli di questo fenomeno di costruzione delle informazioni partendo dai dati, innanzitutto per immunizzarci contro la comunicazione persuasiva di chi utilizza i nostri dati, ma anche per capire il valore delle nostre informazioni.

Insomma, i dati servono alle grandi aziende per analizzare attraverso seri e precisi programmi di profilazione chi siamo, dove andiamo, come spendiamo, in cosa spendiamo e con che frequenza compiamo azioni importanti per il mercato.

E se decidiamo di non dare importanza ai nostri dati ed a come li disseminiamo dobbiamo rassegnarci al fatto che con queste informazioni, il marketing digitale e quello diretto diventano potenti armi di persuasione, che riescono a tracciarci e raggiungerci nei momenti in cui è più probabile che prenderemo in considerazione il loro messaggio pubblicitario.

Dott. Stefano. Gorla

Governance e Compliance Team leader     InTheCyber, DPO Certificato 001 FAC Certifica.

 

Un detto che risale agli anni 1990 recitava:

Non si migliora ciò che non si misura.

Misurare è fondamentale perché ci fornisce indicazioni di cosa stiamo facendo, dove stiamo andando e come.

Per poter verificare la direzione e quindi instaurare un sistema di misura è necessario scegliere cosa misurare e le metriche necessarie.

Si possono utilizzare sistemi di misura automatici oppure utilizzare metodologie quali l’audit.

Un audit è un processo teso a verificare la conformità ad alcuni requisiti, definiti dall’organizzazione e/o dal contesto. Una guida all’audit è riportata dalla ISO 19011 (sulla conduzione generale delle verifiche ispettive), che riporta

3.1 audit: Processo sistematico, indipendente e documentato per ottenere le evidenze dell’audit (3.3) e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit (3.2) sono stati soddisfatti.

Anche la normativa per il trattamento dei dati personali richiede una valutazione dei sistemi.

L’articolo 29 del DLgs 196/03 recitava:

4) Il Responsabile effettua il Trattamento attenendosi alle istruzioni impartite dal Titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni

Mentre il regolamento europeo sulla protezione dei dati 2016/679 riporta:

Considerando:

74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al  trattamento che il responsabile del trattamento deve eseguire per conto del titolare del  trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. […]

Articolo 28 Responsabile del trattamento

1. h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati

La sicurezza dei dati e delle informazioni è un processo trasversale che riguarda tutta l’organizzazione.

Valutare lo stato di questi sistemi risulta allora importante. Come accennato sopra è possibile fare ciò attraverso dei momenti formali, audit, svolti all’organizzazione oppure coinvolgendo il personale dedicata attraverso una metodologia di autovalutazione e di confronto. Sia per la parte audit che per la parte di autovalutazione, che deve essere guidata ed approfondita, si possono utilizzare vari modelli basati però tutti sui su tre punti fondamentali:

• Riservatezza
• Integrità
• Disponibilità

 

Ci sono vari livelli di autovalutazione in funzione di cosa vogliamo misurare e con quale dettaglio. Un esempio di una check list, di 15 punti, è riportato sotto, tratta dall’Italian Cybersucurity Report CIS Sapienza e laboratorio CINI del marzo 2017.

In questa autovalutazione è necessario definire però delle metriche e misurare la distanza (gap) o meglio l’applicazione del sistema di sicurezza IT.

Oltre alla guida sopra riportata esistono altri modelli che ci permettono, definendo dei livelli di applicazione, di autovalutare il sistema di sicurezza, confidando nell’onestà delle risposte degli interlocutori.

Uno dei modelli di riferimento si trova nell’allegato A della norma ISO 27001 (la SOA) e la ISO 27002 che guida con maggior dettaglio le richieste della SOA.

L’allegato A si compone di 114 domande suddivise nei seguenti capitoli:

• 5: Politiche per la sicurezza delle informazioni;
• 6: organizzazione della sicurezza delle informazioni;
• 7: Sicurezza delle risorse umane,
• 8: Gestione degli asset;
• 9: Controllo degli accessi
• 10: Crittografia;
• 11: Sicurezza fisica e ambientale;
• 12: Sicurezza delle attività operative;
• 13: Sicurezza delle comunicazioni;
• 14: Acquisizione, sviluppo e manutenzione dei sistemi;
• 15: Relazioni con i fornitori;
• 16: Gestione degli incidenti relativi alla sicurezza delle informazioni;
• 17: Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa;
• 18: Conformità.

La possibilità di poter seguire una lista molto complessa di 114 controlli suddivisi in 13 capitoli con i relativi sotto capitoli, facilita l’organizzazione nell’autovalutazione e nella gestione. Se un requisito non risulta soddisfatto, per implementare correttamente il sistema è necessario prevedere dei piani d’azione per soddisfarlo.

Per ognuna si stabilisce il grado di applicazione in modo da avere una fotografia dell’organizzazione.

Secondo la tabella proposta.

Si è utilizzato il CSF NIST, Cyber Security Framework NIST, per una autovalutazione dello stato del sistema organizzazione RIPORTARE DOMANDE

Se modello non copre introduzione di altre voci da altri modelli.

Per ogni domanda del framework sì è attribuito un valore all’applicazione del sistema riferito alle domande poste.

Un esempio è riportato sotto.

Per ogni asse viene poi eseguita la media dei valori così ottenuti, in modo da identificare lo stato aziendale.

 

 

 

Scritto da Alfredo Visconti Presidente ANDIP _____________________________________________________________

E’ bene partire da un assunto chiaro, il GDPR 679/2016 è denominato “Regolamento generale sulla Protezione dei dati”, il nostro D.lgs 196/2003 era ed è conosciuto come “Codice in materia di protezione dei dati personali”, si evince che ambedue hanno lo scopo di proteggere i dati (anche e forse soprattutto quando sono riferiti al business) e non di vietarne l’utilizzo.

Per quanto riguarda, il mondo del marketing e la gestione delle attività afferenti alle politiche di mail marketing, il GDPR non vieta in alcun modo questa prassi, in molti forse in troppi hanno cavalcato il concetto di divieto per poter tacciare il concetto di privacy e di tutela dei dati personali come lo strumento anti-business che avrebbe mortalmente colpito il mercato in nome di una difesa del consumatore, blanda e senza nessun presupposto valido.

Il vero problema che ci troviamo ad affrontare e che sarà di portata ancora maggiore con l’ingresso in vigore del nuovo registro delle opposizioni sta nel fatto che il mondo del marketing e lo stesso dicasi per le mail professionali, è stato gestito in modo decisamente poco serio, non essendo riusciti ad organizzare il momento con adeguata professionalità.

Il tutto ha portato ad un irrigidimento sia lato normativo, dove è prevalsa la convinzione che tutto si poteva fare se la mail era di pubblico dominio, sia lato mercato, dove l’utenza si è sentita assediata senza nessuna possibilità di uscita.

Del resto è bene ricordare che lo spam è sempre stato vietato o contrario ai termini di utilizzo della maggior parte dei provider di posta elettronica.

Comunque da questo primo passaggio emerge forte il concetto che in ambito privacy i dati si possono usare se adeguatamente protetti ed utilizzati attraverso opportuno rilascio di consenso

Tanto ciò detto per chiarire che il GDPR non vieta questa pratica ma ne “norma” la raccolta del consenso e quindi dell’utilizzo, richiedendo alle organizzazioni di chiedere un consenso affermativo per poter inviare comunicazioni, e subito dopo prevedendo in modo chiaro ed esplicito la possibilità di cambiare il consenso ed eventualmente di eliminare lo stesso.

Riassumendo per le pratiche di mail marketing è necessario

• Il consenso – che deve essere esplicito per quella determinata attività, quindi non generico
• La revoca – si deve rendere fruibile in modo semplice e diretto la possibilità di annullare il consenso
• La gestione – come per l’annullo si deve rendere possibile gestire e quindi eventualmente modificare il proprio consenso

In mancanza di questi tre elementi si viola apertamente il GDPR.

Quanto fin qui detto e scritto ricade almeno per la parte delle email marketing nel concetto di opt out e opt in che in questo caso specifico si differenziano in singol opt in e double opt in. Sono questi i termini informatici usati per prevenire lo spam essendo soprattutto allo stesso tempo in regola con le “norme” previste sulla privacy.

Questi concetti li troviamo espressi e spesso presenti nella gestione delle newsletter, ed è bene capire le differenze in termini di regole tra i due sistemi

Opt-Out
l’iscritto riceve le newsletter fino a quando, in modo esplicito, non dichiari di non voler ricevere più messaggi dalla lista, e fin tanto che non si esprime questo volere negativo o di cancellazione le email continueranno a viaggiare senza nessuna restrizione.

Single Opt-In

L’email marketing basato sul single Opt-In prevede un’iscrizione ad una lista che quindi a sua volta prevede un consenso esplicito del destinatario a ricevere quelle newsletter e/o comunicazioni via email o appunto newsletter. Nella pratica, corretta, il passaggio informatico avviene tramite una form di registrazione  che però non prevede la verifica dell’indirizzi del destinatario, quindi è possibile ci si iscriva alla lista utilizzando una email di altri senza l’autorizzazione di queste;

Double Opt-in

Sistema che garantisce un livello di sicurezza maggiore, richiedendo non solo l’iscrizione, ma anche la conferma a tale iscrizione tramite una successiva email di notifica, cosi facendo si elimina il problema della falsa iscrizione visto in precedenza. Per nostra fortuna questo sistema ha preso piede e quindi nella tutela dei dati personali abbiamo raggiunto un livello molto più aderente alle regole del GDPR.

Ma lo scettro dello sfruttamento dei dati che viaggiano via mail, il marketing lo divide con le normali attività di posta elettronica, aprendo molti versanti relativi alla sicurezza dei dati completamente scoperti.

Forse non tutti ci siamo resi conto che quanto fin qui scritto rappresenta i principi di protezione dei dati stabiliti all’art. 5 che sono “liceità, correttezza e trasparenza”.

Volendo quindi riassumere è ormai chiaro che i dati si possono utilizzare solo se siamo in presenza e nel rispetto di adeguate giustificazioni legali ed il loro utilizzo deve essere basato su una comunicazione trasparente e inequivocabile con l’interessato, che ne abbia rilasciato opportuno e adeguato consenso.

Naturalmente non stiamo parlando in modo astratto, perché l’art. 6 ci spiega in modo specifico le  “basi legali” per gestire, raccogliere, archiviare, utilizzare, … i dati delle persone, e naturalmente non si poteva non partire dal concetto del consenso che deve essere ottenuto in modo inequivocabile e dopo una chiara esplicazione completa di ciò che si intende fare con i dati. Quindi volendo riportare cose dette ridette ormai da tutti, specifichiamo che:

• Il consenso deve essere “liberamente dato, specifico, informato e inequivocabile”.
• Le richieste di consenso devono essere “chiaramente distinguibili dalle altre materie” e presentate in “un linguaggio chiaro e semplice”.
• Gli interessati possono revocare il consenso precedentemente prestato
• I minori di 13 anni possono dare il consenso solo previa autorizzazione dei genitori.
• È necessario conservare le prove documentali del consenso.

e dobbiamo tra le altre sicuramente aggiungere il “legittimo interesse”.

Tuttavia, come riportato direttamente dal Garante “in particolare l’art. 13 offre alle organizzazioni un altro modo di utilizzare i dati di una persona per scopi di marketing che deriva dalla base contrattuale. Nel contesto di una vendita di un bene o servizio, un’organizzazione “può utilizzare questi dati di contatto elettronici per la commercializzazione diretta di propri prodotti o servizi simili a condizione che ai clienti sia data in modo chiaro e distinto la possibilità di opporsi, gratuitamente e in modo semplice”, secondo l’articolo 13, parte 2. In sostanza, ciò significa che un’organizzazione può inviarti legalmente e-mail di marketing sul servizio che ti fornisce purché ti informi che puoi rinunciare in qualsiasi momento e che vi sia il possibilità di disiscriversi in ogni comunicazione.”

Cominciamo a non pensare in modo univoco ai messaggi ma cerchiamo di capire in quale mondo un messaggio inviato va a finire, quanti lo leggono e di conseguenza quanti lo possono usare, ma soprattutto rendiamoci conto che in assoluto oggi quando si parla di dato sarebbe più corretto parlare di dati in movimento. Volendo fare un esempio esplicativo ma non esaustivo dell’ampia tematica che stiamo aprendo basti pensare ad un semplice messaggio di posta che una volta inviato viene ricevuto almeno su:

• Pc di lavoro
• Portatile
• Tablet/i-pad
• Smartphone

Creando quindi una proliferazione del dato e dell’informazione su cui difficilmente si può operare un serio controllo di protezione. Se agli esempi appena fatti aggiungiamo poi che molto spesso un messaggio viene  inoltrato o gestito tramite minimo

• whatsapp
• social network

capite da soli che la protezione diventa un algoritmo protettivo da vero esperto informatico, in quanto in questo giro, ripeto veramente minimale, il dato e l’informazione che porta con se si è salvato da più parti e su più supporti aprendo una fonte d’attacco molto ampio per prelevarli.

A questo problema si può ovviare attraverso il rispetto del GDPR e l’osservanza delle necessarie regole aziendali, quindi come contrasto avremo sicuramente

Una metodologia di consultazione e conservazione che deve essere opportunamente edotta ai dipendenti avendo da una parte la consultazione che esplicita le regole con cui si scaricano le mail e dall’altro affronta le regole della cancellazione di questo mondo di dati.

La cancellazione dei dati è una parte importante del GDPR, e delle tecniche di protezione, più volte richiamata e sulla quale il Garante ha posto una attenzione notevole, fino a chiedere che i termini di cancellazione dei dati fossero dichiarati nell’informativa pubblica e come campo obbligatorio nel registro del trattamento. La conservazione è un principio di protezione dei dati, esplicitato all’articolo 5, lettera e), dove si afferma che i dati personali possono essere conservati per “non più di quanto necessario per le finalità per le quali i dati personali sono trattati”. Sempre il concetto di cancellazione viene poi ripreso anche all’art. 17 dove è normato il principio all’oblio aprendo una grossa problematica sul concetto di cancellazione e deindicizzazione quando il dato è presente anche sul mondo internet.

Certo diciamoci la verità questo della cancellazione è uno scoglio molto duro, perché quasi esclusivamente culturale, e sicuramente è più facile che un cammello passi per la cruna di un ago, piuttosto che qualcuno di noi (me compreso) cancelli una mail ritenuta “fondamentale”.

Non si cancellano la mail per svariato motivi e per le più raffinate raccomandazioni, ma dobbiamo  far conto con la problematica per cui più dati si conservano, maggiore sarà la responsabilità in caso di violazione.

Per altro ricordiamoci che la cancellazione dei dati personali non necessari è ora richiesta dalla legge europea. Secondo il GDPR, dovremo rivedere periodicamente la politica di conservazione della posta elettronica con l’obiettivo di ridurre la quantità di dati e di informazioni che archiviamo. Il regolamento richiede di dimostrare di avere una politica in atto che bilancia i legittimi interessi commerciali con i gli obblighi di protezione dei dati ai sensi del GDPR.

Sia ben chiaro nel GDPR, non viene espressamente indicato per quanto tempo le società devono conservare le e-mail, pertanto, come già detto in precedenza, spetta alle organizzazioni creare le proprie policies e dimostrare che è stata, di conseguenza, implementata una metodologia specifica, anche perché le novità apportate dal Regolamento Europeo n. 679/2016 sulla protezione dei dati personali vi è l’esplicita previsione del divieto di conservare gli stessi per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento.

Se vogliamo un riferimento pseudo normativo potremmo dire che il trattamento dei dati personali delle persone fisiche è sempre stato improntato  ai principi di necessità e finalità del trattamento, secondo i quali i dati raccolti non possono essere trattati per un tempo ulteriore rispetto a quello strettamente necessario allo scopo della raccolta stessa.

Quanto appena scritto non può che tradursi nell’obbligo per il titolare del trattamento di provvedere alla cancellazione dei dati raccolti una volta perseguito lo scopo, non potendo essere conservati per periodi ulteriori, infatti l’art. 5, comma 1, lett. e), del GDPR cita che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In un solo caso il GDPR  consente di trattenere i dati per periodi più lunghi di quelli strettamente necessari, quando i dati  sono trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, previa attuazione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato (cd. principio di “limitazione della conservazione”).

Naturalmente nel perimetro della sicurezza della posta non possiamo pensare solo alla gestione delle procedure di cancellazione, ma dobbiamo porre l’accento anche su tecniche informatiche importanti ed esistenti da sempre, stiamo parlando di crittografia, anonimizzazione, pseudonimizzazione, dati sintetici di ci abbiamo già scritto in un precedente articolo, e tutte le classiche casistiche di attacco ormai conosciute dai più ma che ancora danno risultati importanti.

Il novantuno percento degli attacchi informatici inizia con un’e-mail di phishing, attraverso la quale si tenta di accedere a un account o dispositivo utilizzando l’inganno o il malware, in questi casi, o comunque nel dubbio, si tenga sempre presente che è buona norma che collegamenti e allegati da account sconosciuti non debbano mai essere cliccati o scaricati, perché diversamente si potrebbe ottenere l’accesso a un account o dispositivo, dal quale è possibile accedere ad altri dispositivi e alla rete, con il risultato  che un errore umano potrebbe compromettere grandi quantità di dati.

Per evitare responsabilità, e sanzioni è importante educare alla sicurezza della posta elettronica, anche e soprattutto scrivendo le policies opportune per la gestione. Una buona procedura di policies aziendali per la gestione della posta deve assolutamente prevedere ad esempio una regola che imponga di non aprire mail sospette se non con l’autorizzazione del titolare o dell’amministratore di rete

Con il termine Crittografia o Cifratura si intende il processo volto a impedire la leggibilità in chiaro di un testo a chi non abbia il sistema di cifratura e la chiave per decifrare il testo stesso e nel nostro mondo l’articolo 32 del Regolamento UE 2016/679 relativo alla Sicurezza del Trattamento recita

“1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento e il Responsabile del trattamento mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

1. a) la pseudonimizzazione e la cifratura dei dati personali”

Il Regolamento non entra nel dettaglio di quando applicare la misura (infatti il testo preciso è: “che comprendono, tra le altre, se del caso”), né specifica quale livello o metodologia di cifratura applicare; si limita semplicemente ad indicare una misura che è molto importante e significativa in un sistema di protezione dei dati. Questo in perfetto accordo al principio cardine del Regolamento che prevede che sia il Titolare del trattamento a valutare quali misure di sicurezza adottare per proteggere i dati trattati (Responsabilità del Titolare, nel testo originale Accountability).

Abbiamo già detto che l’attuale quadro normativo, affida al titolare il compito e la responsabilità di decidere quali misure di sicurezza possano e devono essere considerate idonee al fine di garantire un’adeguata protezione ai dati personali trattati. In questo ambito decisionale il mercato ha deciso di considerare la cifratura quale misura specifica e forte per  garantire riservatezza, integrità e disponibilità dei sistemi e dei servizi di trattamento.

Infatti all’interno del testo del Regolamento UE, il concetto di cifratura viene spesso citato basti pensare al Considerando 83 ove è previsto che i titolari o i responsabili del trattamento dovrebbero valutare i rischi delle loro varie attività di trattamento dei dati e attuare misure per mitigare tali rischi, come la cifratura, in modo da:

• mantenere la sicurezza;
• impedire trattamenti non conformi al GDPR

contestualmente l’art. 32, annovera la cifratura tra le misure tecniche e organizzative a disposizione del titolare, per garantire un livello di sicurezza adeguato al rischio, e  l’art. 34, focalizzato sulla comunicazione di un’eventuale violazione di dati ai soggetti interessati, menziona nuovamente la cifratura come esimente per il titolare che abbia implementato misure adeguate a rendere i dati, oggetto della violazione, incomprensibili a chiunque non sia autorizzato ad accedervi.

In linea generale, possiamo dunque considerare questo come uno strumento certamente utile ma, di certo, non l’unico da implementare. Pur non essendo una misura “obbligata”, rimane comunque “caldamente consigliata” per limitare i rischi impattanti sui dati personali. Il ricorso alla cifratura viene dunque rimesso all’iniziativa dei titolari del trattamento, in forza di quel principio di accountability che sta alla base del nuovo approccio promosso dalla normativa.

Dopo la cifratura o crittografia vediamo brevemente la pseudonimizzazione che è: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; è una misura che da un punto di vista informatica non offre un grande livello di sicurezza, anche perché chi dovesse accedere ai dati avrebbe comunque la visibilità di una parte dell’intero set di dati, mentre la crittografia o cifratura è sicuramente molto più performante in termini di sicurezza informatica.