A partire da maggio 2018 il nuovo regolamento sulla protezione dei dati personali (Regolamento Ue 2016/679, noto come GDPR), nato con l’obiettivo di armonizzazione e semplificare le norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo, ha creato nuove sfide alle organizzazioni (comprese le più complesse come quelle sanitarie) di casa nostra.
Ma a quale scopo concentrare tutti i dati e le fasi del trattamento cui essi sono sottoposti in un unico punto, piuttosto che lasciarle sparse in più postazioni come si è sempre fatto? Qual è il valore aggiunto delle nuove procedure?
Solo se si risponderà a queste domande ci si potrà accordare al nuovo indirizzo senza subirlo passivamente e di contro voglia (come spesso purtroppo accade nel nostro Paese quando si parla di direttive legate alle innovazioni tecnologiche provenienti dall’Europa: basti pensare alla fatturazione elettronica!)
Il valore aggiunto cui si accennava è quello dell’accountability, vale a dire una consapevolezza che consiste nell’avere ben chiaro quali dati si trattano, quali sono le finalità perseguite attraverso questi trattamenti, le dinamiche dei processi in questione, e la coscienza dei rischi ad esso correlati.
Se nella nostra organizzazione manca un sistema software centralizzato, il proliferare di file nelle postazioni di lavoro può innescare numerosi problemi:
- non si è in grado di sapere chi ha accesso ai documenti
- non si riesce ad arginare il rischio di alterazioni, copie o distruzioni accidentali
- non conosciamo bene la localizzazione di dati e documentazione.
Come arginare questi problemi?
Anche senza ricorrere a consulenti superesperti o corsi avanzati, basta porsi le domande giuste:
- Quali soggetti sono abilitati a trattare i dati personali?
- Quali dati vengono raccolti?
- A che scopo vengono raccolti?
- Con quali strumenti vengono trattati?
- Dove vengono conservati tali dati?
- Per quanto tempo è necessario conservarli?
Con quanta più chiarezza riusciremo a rispondere a tali domande, tanto più sarà semplice allineare i nostri processi ad un modello corretto.
Quando tutti i trattamenti sono gestiti tramite un sistema centralizzato, la risposta alle domande di cui sopra diviene piuttosto semplice:
- Gli utenti hanno accesso al sistema con password personali e profili di accesso in base ai loro ambiti e compiti
- Il sistema permette di registrare informazioni anagrafiche e i dati tot
- Il trattamento è finalizzato all’erogazione della prestazione
- Il software utilizzato è il prodotto X, fornito dalla ditta Y
- Il database è ospitato nella sala server aziendale
- I dati vengono mantenuti per X anni sul server e su nastri di backup. Trascorso tale termine, una procedura automatica cancella quelli più vecchi, secondo i termini di legge.
Tutto questo ci permette di definire le misure di sicurezza più adeguate da adottare, garantendo confidenzialità, integrità e disponibilità per i documenti, e completezza dell’informativa, diritto all’oblio e portabilità per gli interessati.
Inoltre, risiedendo tutti i documenti in un solo punto ben protetto, non occorre elevare ulteriormente il livello di protezione sulle singole macchine.
Se invece la gestione documentale avviene con modelli sparsi nei vari computer, rispondere alle domande diventa complicato:
- Chi? Chiunque abbia accesso ai computer
- Cosa? Svariate cose
- Come? Tramite Word, Excel e Access
- Dove? Ognuno ha una cartella nella propria postazione e poi salva in uno spazio condiviso sul server centrale
- Quando? I documenti vengono conservati almeno per X anni.
Le difficoltà di gestione saltano immediatamente all’occhio, come pure i pregi di una gestione centralizzata, che permette di avere:
- un unico controllo accessi
- un’unica macchina da proteggere
- un solo archivio da salvare
- un unico log per tracciare le operazioni
- un unico modello di raccolta dati
- un’uniforme gestione di ruoli e permessi
- un set standard di funzioni di elaborazione.
E secondo voi è più facile proteggere una sola fortezza o un numero praticamente indefinito?
Copying progetta la sicurezza dei dati ed il governo della Privacy attraverso l’analisi, il disegno, l’implementazione e la gestione di soluzioni di sicurezza delle informazioni, continuità operativa e gestione dei rischi informatici, proponendo attività di:
- Progettazione e realizzazione del piano di adeguamento attraverso le opportune attività di formazione, la creazione delle policy necessarie e la redazione della documentazione richiesta dalla normativa vigente
- Monitoraggio delle misure previste dal piano di adeguamento al fine di rilevarne l’effettiva e corretta applicazione
- Supporto e affiancamento nel caso di visite ispettive.