GDPR: L'applicazione delle regole è molto costosa

A questo proposito, il regolamento è molto chiaro. L'articolo 34 afferma che: "Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e la libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra l'altro, se del caso... " (cfr. GDPR: il regolamento completo).

SCARICA IL NOSTRO EBOOK GRATUITO

Pertanto, una piccola impresa con una capacità economica non in grado di garantire la un livello di sicurezza adeguato, ad esempio, al trattamento dei dati genetici, non svolge questa attività.

GDPR l'applicazione del regolamento è molto costosa

D'altra parte, non si prevede che possa avere il livello di sicurezza che si possono permettere di raggiungere le aziende più strutturate con denaro più ricco. Quindi il Regolamento non richiede di fare il passo più lungo della gamba, ma di strutturare azioni (anche a costo economico zero) che consentano all'azienda di effettuare i trattamenti che svolge, garantendo i diritti delle persone a cui i dati si riferiscono applicando misure che minimizzino il rischio che ciò comporta (vedi il nostro eBook sul GDPR).

Inoltre, il principio che il GDPR introduce è quello dell'accountability ovvero la responsabilità del titolare di fare il possibile per garantire i diritti degli interessati.

Cosa sta cercando di dire il regolamento?

Vediamo alcuni casi concreti per capire:

  • la condivisione di username e password tra dipendenti della stessa realtà;
  • utilizzo della stessa password per più sistemi, siti e applicazioni;
  • utilizzo di password mnemoniche (date di nascita, nomi di persone, parole comuni);
  • utilizzo di applicazioni e sistemi senza codici di accesso;
  • uso di post-it con nome utente e password di computer, stampante, rete.

È evidente che:

  • se ci sono nessuna credenziale di accessoun eventuale attaccante non dovrà perdere tempo per trovarli;
  • se 2 persone condividere le chiaviIn caso di problemi sarà difficile identificare chi ha commesso una leggerezza;
  • a password ripetuta è una facilitazione che viene fornita a chi vuole indovinarla per compiere azioni contrarie alla legge: Mi attivo per trovarlo una volta e poi lo riutilizzo in tutti i sistemi a cui il legittimo titolare ha accesso;
  • a password mnemonica è il più semplice da replicare, poiché è tra i primi tentativi che qualsiasi sistema automatico (e qualsiasi attaccante anche non particolarmente esperto di cybersecurity) esegue con un alto grado di successo (se non totale).

Quali sono i rischi connessi all'attuazione del regolamento?

In caso di controllo, in tutte le situazioni elencate, sarà difficile per il titolare di un'azienda dire di aver fatto tutto il possibile per ridurre al minimo il rischio del trattamento. Eliminare queste cattive pratiche non ha un costo finanziario significativo, soprattutto se paragonato al rischio che comporta e alla sanzione prevista in caso di scoperta.

Sarà sufficiente partire da una responsabilizzazione di tutte le persone sul valore dei dati aziendali (attività di formazione) e utilizzare programmi ormai molto diffusi e, in molti casi, gratuiti, chiamati gestori di password (gestori di password). Permettono di salvare tutte le credenziali che devono essere ricordate, dovendo memorizzare solo quella per accedere al programma.

La semplice installazione di un buon antivirus su tutti i sistemi e il suo regolare aggiornamento va non solo nell'ottica di migliorare la sicurezza dei dati (e quindi dei trattamenti effettuati), ma permette anche di ridurre il rischio di un dispositivo fuori servizio, dell'intero sistema informativo aziendale con i costi che comporta un'interruzione della produzione.