Quali sono i modi per proteggere i dati degli utenti ed essere conformi al GDPR?

Image of Carlo Cilento

Pubblicato il 13 gen 2023 e modificato il 15 ago 2023 da Carlo Cilento

La protezione dei dati degli utenti non è solo un elemento di buona governance dei dati: è un obbligo di legge ai sensi del GDPR. Le violazioni dei dati possono costare alle aziende una multa e danneggiarne la reputazione, quindi elaborare i dati in modo sicuro e riservato è fondamentale per le aziende.

Naturalmente non esiste una soluzione unica per garantire la sicurezza dei dati, poiché le operazioni di trattamento variano notevolmente da organizzazione a organizzazione. Tuttavia, alcune linee guida di base si applicano a tutti gli scenari. Daremo per scontate le misure di sicurezza tecniche (si spera che si utilizzino meccanismi di autenticazione sicuri, crittografia dei dati e così via) e ci concentreremo su ciò che si può fare dal punto di vista della governance dei dati.

  1. Conoscere i flussi di dati
  2. Conoscere i processori
  3. Adottare una politica di accesso responsabile
  4. Attenzione ai trasferimenti di dati
  5. Formare il personale
  6. Tenere conto degli errori umani
  7. Adottare una politica di verifica DSAR ragionevole
  8. Disporre di una politica di disaster recovery per i dati
  9. Elaborare meno dati
  10. Riflessioni finali
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Immergiamoci

Conoscere i flussi di dati

Il punto di partenza per proteggere i dati degli utenti è una buona governance dei dati, che richiede di sapere cosa si sta facendo con i dati. Questo potrebbe sembrare un punto banale, ma non lo è. I flussi di dati sono spesso più complessi di quanto non sembri a prima vista: è facile concentrarsi solo sui dati che interessano e trascurare altre categorie di dati che vengono elaborati insieme a quelli "principali".

Per esempio, supponiamo che l'ufficio legale di un'azienda conservi nel suo sistema di archiviazione le copie dei contratti fisici con i clienti. Questa operazione è più complessa di quanto sembri. Sono necessarie le credenziali di accesso al sistema di archiviazione e un amministratore di sistema dovrà gestire i privilegi di accesso. Inoltre, l'azienda vorrà sicuramente monitorare l'accesso ai dati, il che significa che il sistema di archiviazione dovrà generare e memorizzare metadati per ogni utente. Concentrandosi troppo sui CV è facile perdere di vista il quadro generale.

Flussi di protezione dei dati

Nella vita reale le cose sono probabilmente più complicate: altri membri del personale potrebbero godere di diversi privilegi di accesso, il personale informatico potrebbe aver bisogno di accedere al sistema per svolgere il proprio lavoro, potrebbero essere coinvolti processori terzi e così via. Tenere conto di tutte queste variabili non è semplice, soprattutto quando si tratta di architetture di dati complesse.

La mappatura dei flussi di dati presenta molti vantaggi. Una mappa accurata e completa:

  • mette in evidenza i problemi di accesso e sicurezza che possono essere affrontati
  • evidenzia le opportunità di rendere più efficiente l'architettura dei dati
  • aiuta a implementare nuovi flussi di dati in modo coerente all'interno dell'architettura esistente
  • aiuta a garantire che la politica di accesso rifletta il modo in cui i dati vengono effettivamente elaborati
  • facilita la registrazione delle attività di trattamento (un requisito per alcune aziende ai sensi del GDPR1)
  • aiuta a soddisfare le richieste di accesso e cancellazione perché si sa quali dati si controllano e dove trovarli all'interno dei sistemi.

La mappatura dei flussi di dati può essere complicata per le grandi aziende in cui diversi team elaborano i dati. Altre categorie di dati personali sono i dati dei clienti, i dati di analisi web, i dati dei dipendenti, le informazioni sui pagamenti, ecc. Inoltre, l'architettura dei dati di un'azienda diventa sempre più complessa con il passare del tempo, quindi più tardi si procede alla mappatura, più sarà difficile. Idealmente, le mappe dovrebbero essere redatte fin dall'inizio e aggiornate periodicamente.

Il caso di Meta è piuttosto istruttivo. Il contenzioso contro l'azienda ha rivelato che nessuno in Meta sa esattamente come vengono elaborati i dati. Facebook esiste da quasi vent'anni, ma Meta ha tentato (e fallito) di mappare i suoi flussi di dati solo l'anno scorso, in seguito a un ordine del tribunale. L'architettura dei dati di Meta è così follemente complessa che mapparla da zero è praticamente impossibile.

Conoscere i processori

Molte aziende si affidano a terzi per il trattamento dei dati in un modo o nell'altro, che si tratti di cloud storage, di Platform-as-a-Service, di un fornitore di servizi di posta elettronica o di un appaltatore incaricato della manutenzione informatica.

Ai sensi del GDPR, queste parti sono responsabili del trattamento dei dati e devono firmare un accordo di trattamento dei dati (DPA) con voi. Tenete presente che potreste essere ritenuti responsabili di qualsiasi danno causato dal vostro incaricato al trattamento dei dati in violazione del GDPR2, comprese le violazioni che potrebbero subire!

Assicuratevi di affidarvi solo a elaboratori di fiducia con una buona governance dei dati e politiche di divulgazione rigorose. Lo stesso vale per qualsiasi sub-elaboratore coinvolto (cioè qualsiasi elaboratore che lavora per il vostro elaboratore). Se possibile, è preferibile un trattamento interno per alcune categorie di dati (ad esempio, segreti commerciali e dati personali sensibili come le informazioni mediche).

Adottare una politica di accesso responsabile

Come regola generale, più persone possono accedere ai dati, più cose possono andare storte. Il controllo degli accessi basato sui ruoli garantisce che i dati siano accessibili solo al personale che ne ha effettivamente bisogno. Questo è particolarmente importante per le grandi aziende con una struttura complessa: Le risorse umane hanno bisogno dei dati sui dipendenti in malattia, mentre la direzione e il marketing non ne hanno bisogno.

Attenzione ai trasferimenti di dati

Il GDPR consente di trasferire i dati al di fuori dell'UE/SEE. Tuttavia, alcuni trasferimenti sono più complicati di altri. I trasferimenti verso Paesi coperti da una decisione di adeguatezza sono semplici e non comportano alcun onere di conformità, anche se dovrete comunque assicurarvi che un elaboratore affidabile riceva i dati.

Le cose si complicano quando non si può contare su una decisione di adeguatezza. Non parleremo in dettaglio dei trasferimenti di dati, ma in breve i trasferimenti al di fuori dell'UE/SEE comportano alcuni oneri di conformità (come le clausole contrattuali standard). Questi oneri non devono essere affrontati come un esercizio di forma: è vostro dovere, in quanto responsabili del trattamento dei dati, garantire che qualsiasi meccanismo di trasferimento utilizziate fornisca una protezione sufficiente nella pratica. Questo può essere problematico nei Paesi che consentono una sorveglianza diffusa, come gli Stati Uniti. Questo è il nocciolo dei problemi di Google Analytics con il trasferimento dei dati e il GDPR.

Se siete curiosi, potete leggere il nostro blog per saperne di più sulla saga di Google Analytics e sui trasferimenti di dati in generale.

Formare il personale

Mentre alcune fughe di dati sono la conseguenza di sofisticati attacchi di hacking, molte sono perpetrate attraverso il phishing e altre ancora sono il risultato di errori umani. Investire nella sicurezza tecnica è fondamentale per mantenere i dati al sicuro, ma la formazione del personale è altrettanto importante. Non è necessario trasformare ogni dipendente in un avvocato della privacy, ma il personale che gestisce i dati personali deve sapere quando deve o non deve rivelarli. E, cosa fondamentale, deve essere in grado di chiedere a un membro del personale qualificato quando non sa cosa fare.

Tenere conto degli errori umani

Le persone commettono errori. Dovete tenerne conto e impostare l'elaborazione dei dati in modo da ridurre al minimo il rischio di errore umano. Chiedetevi: quali sono gli errori più probabili nella mia azienda? C'è un modo per evitare questi errori?

Ad esempio, un ospedale italiano è stato recentemente multato per aver divulgato gli indirizzi e-mail di centinaia di pazienti di neurologia. Come è successo? Un dipendente ha accidentalmente inserito le e-mail dei pazienti nel campo CC anziché BCC durante l'inoltro di una newsletter (ops!). Questo tipo di errore non è improbabile quando i dipendenti inviano decine di e-mail al giorno. La violazione dei dati si sarebbe potuta evitare impostando il client di posta elettronica in modo da utilizzare BCC come impostazione predefinita, richiedendo un passaggio aggiuntivo (come la conferma dell'utente) per utilizzare CC.

Adottare una politica di verifica DSAR ragionevole

Ai sensi del GDPR, una persona interessata può chiedere al responsabile del trattamento dei dati di fornire determinate informazioni sul trattamento dei suoi dati e di fornire una copia dei dati stessi3. Queste richieste sono tipicamente denominate richieste di accesso ai dati o DSAR. I richiedenti insoddisfatti a volte presentano un reclamo a un'autorità di protezione dei dati, quindi è importante gestire le DSAR in modo tempestivo e adeguato.

Tuttavia, le aziende devono sapere che le DSAR possono essere abusate per accedere illegalmente ai dati di altre persone. In altre parole, le false DSAR sono uno strumento di phishing, e anche molto efficace! Se si cade in un falso DSAR, si subisce una violazione dei dati, quindi è necessario assicurarsi che le richieste non provengano da un impostore.

Allo stesso tempo, le aziende devono gestire le richieste entro un limite di tempo4 e facilitare l'esercizio dei diritti del richiedente5. Conciliare tutti questi obblighi non è semplice e non esiste una soluzione unica. Ogni azienda deve trovare una via di mezzo adeguata in base alla propria situazione specifica e alla natura dei dati che tratta. Tuttavia, come regola generale, si dovrebbe optare per la verifica meno onerosa e invasiva che sia sufficientemente affidabile nel proprio caso6. Ad esempio, se ricevete una DSAR da qualcuno che dichiara di essere un utente registrato del vostro sito web o della vostra azienda, potete chiedere di inoltrare la richiesta dall'e-mail con cui si è registrato. Potreste anche includere un pulsante per inoltrare una DSAR nell'area personale dell'utente sul vostro sito web (Instagram lo fa, ad esempio). Idealmente, dovreste richiedere un ID o altre informazioni personali solo come ultima risorsa.

Disporre di una politica di disaster recovery per i dati

Quando si parla di violazione dei dati, di solito si pensa alle fughe di dati: situazioni in cui i dati personali vengono visualizzati o copiati da una parte non autorizzata. Tuttavia, anche la perdita di dati si qualifica come violazione di dati ai sensi del GDPR7. Ciò significa che qualsiasi politica di sicurezza dei dati deve includere un piano di ripristino di emergenza per i dati. L'ideale è che un'organizzazione disponga di un backup, sia esso un backup fisico o un servizio di disaster recovery basato sul cloud.

Elaborare meno dati

Va da sé che più dati si elaborano, più cose possono potenzialmente andare storte. Oltre ai costi di gestione e manutenzione dei sistemi di elaborazione dei dati, l'elaborazione dei dati ha costi intrinseci in termini di oneri e rischi di conformità, e più complicate sono le operazioni di elaborazione, più alti sono questi costi. Dovete sempre chiedervi: ho davvero bisogno di questi dati o li sto raccogliendo solo perché lo fanno tutti nel mio settore?

A volte la scelta migliore è quella di utilizzare un numero minore di dati. Il valore che una mentalità di minimizzazione dei dati può apportare alla vostra azienda è molto importante, e ne abbiamo scritto qui.

Inutile dire che la vostra azienda dovrebbe anche attenersi a una politica di conservazione dei dati ragionevole e cancellare i dati di cui non ha più bisogno. Si tratta di un obbligo di legge ai sensi del GDPR8 e di una buona prassi per la sicurezza dei dati: i dati che non avete sono dati che non potete far trapelare.

Riflessioni finali

Una buona governance dei dati e una mentalità orientata alla privacy possono apportare valore alla vostra azienda, e affidarsi a strumenti rispettosi della privacy è un ottimo inizio. Questo è anche uno dei pilastri su cui si fonda Simple Analytics. Riteniamo che sia possibile raccogliere informazioni sui visitatori del proprio sito web senza bisogno di alcun dato personale. Questo vi permette di ottenere le informazioni di cui avete bisogno, pur essendo conformi al 100% al GDPR. Crediamo in un Internet indipendente e amichevole per i visitatori del sito web. Se questo vi sembra un'idea condivisibile, non esitate a provarci!

#1 Art. 30 GDPR. 30 GDPR. [^2]: Art. 82(2) GDPR. Il responsabile del trattamento è esente da responsabilità quando non ha avuto alcuna responsabilità nel causare il danno (art. 82, par. 3), ma ha l'onere della prova, il che è molto rischioso nella pratica. [^3]: Art. 15 GDPR. 15 GDPR. [^4]: Art. 12(3) GDPR. [^5]: Art. 12(2) GDPR. [^6]: Questa è anche la raccomandazione dell'EDPB: si vedano le Linee Guida 01/2022 sui diritti degli interessati - Diritto di accesso, par. 65. [^7]: Art. 4(12) Gdpr. 4(12) GDPR. [^8]: Art. 5(1)(e) GDPR. 5(1)(e) GDPR.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni