La gestione dei rischi della privacy nel 2025 è un’ardua sfida. Come vincerla? In questo articolo, ti proponiamo 5 consigli utili per rispondere ad esigenze in termini di sicurezza digitale e protezione dei dati.
Si tratta di due parole chiave a cui ogni azienda ed individuo deve dare conto. Se i recenti casi che hanno visto, loro malgrado, protagonisti piattaforme come InfoCert e Beyond preoccupano e non poco, è anche vero che è possibile mettere in campo adeguate strategie per prevenire data breach e truffe online. Ecco quali.
Risk Assessment
Una delle prime barriere di difesa è la consapevolezza dei rischi a cui il trattamento dei dati personali è esposto. Non è un caso se, proprio il GDPR, pone l’accento sulla valutazione del rischio (Risk Assessment).
Particolarmente interessante, in tal senso, è ciò che ci dice il paragrafo 8 Capo IV – Sezione 3 – Art. Valutazione d’impatto sulla protezione dei dati.
“Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.”
Ma quali sono i codici di condotta a cui il titolare del trattamento deve far riferimento? Il Garante della Privacy ne suggerisce 7:
- Qualità dei dati
- Cifratura
- Conservazione adeguata
- Anonimizzazione dei dati
- Minimizzazione dei dati
- Misure tecnologiche: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni
- Misure organizzative: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti.
Si intuisce come una corretta valutazione del rischio preveda una collaborazione fra figure professionali interdisciplinari. Il nostro consiglio, in questo senso, è quello di non cercare di fare tutto da soli e di affidarsi a strumenti adeguati come un software per la gestione della protezione dati.
Leggi anche: 5 consigli per blindare i tuoi dati
La gestione dei rischi della privacy e la crittografia dei dati
Il GDPR non obbliga il titolare alla crittografia dei dati, ma è anche vero che, a più riprese, le autorità di vigilanza nazionali hanno specificato che si tratta di un passaggio fondamentale per dimostrare il rispetto del Regolamento 2016/679.
La crittografia deve riguardare i dati sia a riposo che in transito.
Crittografia dei dati a riposo: ad esempio, i dati contenuti in un laptop, se non crittografati, finiranno alla mercé di chiunque, nel caso il device venga rubato.
Crittografia dei dati in transito: in questo caso, la miglior difesa è lo standard Transport Layer Security (TLS, in precedenza SSL). I siti che utilizzano l’https all’inizio del proprio indirizzo stanno utilizzando un protocollo TLS e dunque possono essere considerati sicuri.
Gestione dei rischi della privacy: il ruolo della formazione continua
L’obbligo formativo è previsto dal GDPR? Sì, riguarda enti pubblici quanto aziende private. Vediamo cosa dice il Regolamento a tal proposito.
“il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. (art. 32 “Sicurezza del trattamento” paragrafo 4).
La mancata formazione non solo rappresenta un deficit importante nella gestione dei rischi della privacy, ma espone l’organizzazione al pericolo sanzione (fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore).
Accessi autorizzati
Chi può accedere ai dati personali? La difesa da attacchi esterni e la perfetta conformità al GDPR passa, inevitabilmente, da uno step che può sembrare banale, ma che, nonostante tutto, mette spesso le aziende in difficoltà.
Cosa fare? Stabilire una policy aziendale rigorosa che metta a sistema le misure organizzative per l’accesso ai dati è uno step fondamentale.
Giova, a riguardo, citare la sentenza Corte di Giustizia Europea, nella sentenza del 14 dicembre 2023, ha stabilito che anche il timore di un uso non autorizzato del dato personale è un danno immateriale e che come tale va risarcito.
Scegliere il software giusto
Essere GDPR compliance significa mettersi al riparo da costose sanzioni, ma anche incrementare il capitale di credibilità dell’azienda o dell’ente pubblico. Il supporto di un software ad hoc, nel 2025, è più che mai consigliato.
Ricorrere a strumenti non adeguati (uno degli esempi è il classico foglio Excel) per compiere tutte le operazioni che il Regolamento Europeo impone è esso stesso un rischio. Il nostro quinto consiglio è quello di tenere traccia dei vari step previsti dal GDPR attraverso software, meglio se sartoriali ossia realizzati in maniera tale da essere utilizzati in base alle singole esigenze.
Uno degli esempi che è possibile citare è GENIAM Privacy, strumento già utilizzato da grandi aziende e dotato di interfaccia intuitiva, supporto tecnico completo, automazione avanzata.
Con GENIAM Privacy, l’adesione al GDPR non è mai stata così semplice.
