Se sei un’azienda che si occupa di web è fondamentale assicurarti di mantenere la fiducia dei tuoi clienti: anche il livello di sicurezza che riesci ad attuare nella tua struttura e nei tuoi servizi rispetto alla normativa per la protezione dei dati personali diventa un fattore distintivo.
Parlando in legalese, il GDPR pone estrema importanza sulla responsabilizzazione (accountability nell’accezione inglese) di coloro che trattano dati personali nell’ambito della propria attività imprenditoriale, siano essi titolari del trattamento o responsabili del trattamento o anche nominati amministratori di sistema.
Questo significa che esiste un dovere adottare comportamenti proattivi e atti a dimostrare la concreta adozione di misure di sicurezza finalizzate ad assicurare l’applicazione della normativa privacy.
Questo, anche e sopratutto se ti occupi di marketing e ti trovi a gestire una notevole mole di dati personali.
Il GDPR e le misure di sicurezza per un’azienda che lavora online
Il GDPR prevede espressamente, all’art 32, la sicurezza del trattamento: l’azienda che svolge un trattamento di dati personali deve mettere in atto misure di sicurezza tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio.
Non c’è un dettato normativo che stabilisce il livello necessario e sufficiente di misure di sicurezza da adottare per tutti.
Le misure di sicurezza vanno parametrare al rischio, e il rischio deve essere valutato nella sua sussistenza, nella sua frequenza e nella sua gravità, così come nella sua possibile specifica mitigazione tramite le misure di sicurezza e nel relativo costo di implementazione e mantenimento.
In tal senso, quindi, la lista di misure di sicurezza prevista dal legislatore europeo al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso“).
Quali sono le misure di sicurezza per un’agenzia di marketing?
Le misure di sicurezza che puoi implementare come agenzia di comunicazione o azienda di software possono essere distinte in due macrocategorie.
Eccole:
- Tecniche: quelle affidate ad uno strumento o a un software (ad esempio controlli sulla rete, manutenzione dei sistemi, controllo degli accessi fisici e logici, protezioni dai malware, test sui backup ecc). Qui parliamo di sicurezza informatica: se hai necessità di supporto sappi che il nostro lavoro di legali in azienda è in partnership stretta con un’azienda IT che ci dà supporto per il cliente finale. Puoi contattarci per approfondire.
- Organizzative: quelle affidate ai comportamenti delle persone, i quali devono essere conformi agli standard operativi che si è data l’azienda tramite regolamenti, policy e procedure interni (ad esempio: politiche per la gestione dei dati o per l’uso dei dispositivi, formazione, responsabilizzazione, controllo della catena di fornitura, ecc.). Qui parliamo di consapevolezza e procedure: è il nostro territorio principale e con la consulenza e formazione possiamo dare supporto alla tua azienda nel percorso di compliance.
L’art. 32 del GDPR prevede un elenco esemplificativo di misure di sicurezza, in relazione alle quali è possibili individuare per ciascuna voce dell’elenco tanto regole tecniche quanto regole organizzative:
- pseudonimizzazione e cifratura dei dati personali: quali ad esempio software per la pseudonimizzazione (misura tecnica) e policies aziendali che prevedano l’obbligo per determinate funzioni aziendali di utilizzare tali strumenti (misura organizzativa);
- capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento: e quindi parliamo di sistemi di autenticazione forte (misura tecnica) e adozione di un organigramma privacy idoneo ad individuare esattamente quali soggetti della tua organizzazione devono aver accesso a quali informazioni (misura organizzativa). Oppure ancora protocolli di sicurezza per proteggere i dati durante il loro trasferimento da e verso un sito web, e quindi utilizzo di HTTPS;
- capacità di ripristinare la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico: stiamo parlando quindi di misure tecniche di disaster recovery (di cui abbiamo recentemente parlato in questo articolo)
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
All’interno del GDPR ci sono poi altre prescrizioni più puntuali:
- l’art. 32, comma 4, in base alla quale chiunque agisca sotto l’autorità di un titolare o responsabile del trattamento e abbia accesso a dati personali non li deve poter trattare se non è stato istruito in tal senso dal titolare del trattamento;
- l’art. 25: il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Come scegliere le misure di sicurezza? La valutazione dei rischi
Per la tua web agency la valutazione puntuale di quali misure di sicurezza può essere un aspetto valorizzato come dimostrazione tangibile del tuo impegno verso la protezione dei dati dei tuoi dipendenti e dei clienti, così da garantire le basi per un rapporto di fiducia con gli stessi.
Tenendo quale riferimento l’art 32, per individuare le misure di sicurezza più adeguate alla tua struttura è opportuno partire dalla individuazione dei cd. rischi potenziali
I rischi potenziali sono i rischi cui sarebbero esposti i processi dell’azienda in termini di riservatezza, integrità, resilienza e disponibilità se non ci fossero misure di sicurezza applicate e risultando quindi idonei a dar luogo ad una lesione dei diritti delle persone fisiche cui i trattamenti si riferiscono. La formula tipicamente utilizzata è:
Rischio = Impatto x Probabilità
Ti suggeriamo di partire dal registro dei trattamenti. Se hai letto l’articolo sai che è un documento fondamentale e che ti possiamo aiutare a formulare. A questo punto per ogni flusso di dati dovrai individuare la misura di sicurezza più adeguata a mitigare il rischio, anche in considerazione dello stato dell’arte e dei costi di attuazione.
Saranno poi sempre necessari controlli periodici per poter dichiarare la conformità di gestione rispetto alle esigenze derivanti dal trattamento dei dati e mantenere evidenza dell’attività eseguita.
Registro degli strumenti informatici: l’impatto sulla sicurezza
Il registro degli strumenti informatici è l’inventario delle tue risorse informatiche che ci consente di individuare software, hardware, rischi, dati, utenti, configurazioni.
In quanto web agency il tuo sistema informatico (inteso nel suo complesso di risorse hardware ma anche di tool informatici) rappresenta indubbiamente un asset fondamentale per il tuo business.
Inoltre, il tuo sistema informatico è fonte di rischi per i dati personali cui è possibile accedere tramite gli stessi: si pensi alla perdita di dati personali dei destinatari di campagne marketing dei tuoi clienti dovuta a errori umani, ovvero ai rischi di indisponibilità di servizi in outsourcing, e così via.
La corretta individuazione e il puntuale inventario delle tue risorse informatiche ti permette di avere una visione immediata delle possibili fonti di rischio. Non a caso spesso il registro degli strumenti informatici viene spesso redatto unitamente al registro dei trattamenti di dati personali, così ma poter evidenziare agevolmente la correlazione tra i due.
Un esempio concreto per la sicurezza della tua agenzia di comunicazione
Prendi il trattamento tipico della tua agenzia: la gestione di una campagna marketing per conto di un cliente.
1) Aggiornamento del registro dei trattamenti del responsabile di un’azienda digitale
Con riguardo al registro dei trattamenti, all’interno della parte del responsabile, dovrai compilare il tipo di trattamento con riguardo a quel cliente: qual è quindi il flusso di dati personali che interviene per conto del tuo cliente.
2) Individuazione della misura e definizione dello strumento informatico
Dovrai poi andare ad individuare la misura di sicurezza per il trattamento e quale strumento informatico utilizzi. Sarà quindi necessario verificare la sicurezza, e sia livello tecnico e organizzativo, ed implementare le misure, per ciascuna di queste situazioni.
Con riguardo al registro degli strumenti informatici andrai quindi a verificare che quel trattamento avvenga con quello o quegli strumenti. Probabilmente poi programmi utilizzati sono molteplici, forniti a loro volta da società terze e il cui accesso è effettuato da diverse risorse del tuo team, ciascuna tramite diversi dispositivi informatici.
Non pretendiamo tu diventi un giurista esperto in privacy, ma vogliamo farti sapere in completa trasparenza quella che sono le attività che dovresti implementare all’interno della tua azienda.
La gestione dei rischi e la corretta individuazione delle misure di sicurezza, se correttamente strutturata prestando particolare attenzione alle risorse informatiche di cui ti avvali, può allora diventare un valore strategico, evitarti blocchi del lavoro e problematiche reali (immagine, responsabilità, perdite).
Foto di Privecstasy su Unsplash