Un esempio pratico per trattare i dati personali in modo trasparente

Di seguito si vedrà come gestire i documenti informatici archiviati nel cloud con la massima trasparenza nei confronti del soggetto interessato al trattamento.

Creare delle cartelle

All’interno del proprio spazio web (c.d. cloud) verranno create più cartelle (nell’esempio si tratta di Google Drive, ma molti altri gestori forniscono servizi con caratteristiche analoghe).

 

 

Con un doppio click sulla singola cartella (nell’esempio sotto riportato, la cartella “Tizio”) sarà possibile :

  • visualizzare e gestire i documenti ivi contenuti;
  • verificare e gestire la condivisione della cartella stessa.

Condividere le cartelle

Una volta entrati nella cartella, apparirà la seguente schermata:

 

 

Poi, cliccando sul pulsante indicato nella foto che precede, apparirà la seguente schermata:

 

 

Attraverso questo form sarà possibile (tra l’altro):

  • condividere con altre persone il contenuto della cartella;
  • attribuire ad ogni persona le credenziali opportune, a seconda del caso e del ruolo che la persona assumerà nel trattamento dei dati personali.

Quindi, ogni cartella potrà essere condivisa:

  1. con l’interessato al trattamento dei dati personali;
  2. con uno o più collaboratori;
  3. con altri soggetti.

Precisare le finalità del trattamento dei dati personali

Prima di iniziare ad utilizzare la cartella creata, si suggerisce, in conformità a quanto previsto dal Regolamento UE 2016/679 (GDPR), di precisare le finalità del trattamento dei dati personali.

Il software messo a disposizione dal cloud utilizzato nell’esempio permette di specificare dette finalità in un apposito spazio, ben visibile da tutte le persone che avranno l’accesso alla cartella.

 

 

Registro del trattamento dei dati personali

Bisogna anche precisare che, dal momento in cui la cartella viene creata, il software messo a disposizione dal cloud utilizzato nell’esempio, terrà traccia, cronologicamente, di tutte le modifiche e di chi le ha apportate.

Attraverso la scheda “Dettagli” riportata più sotto sarà possibile controllare sempre i dettagli della cartella:

  • chi è il proprietario;
  • con chi viene condivisa;
  • ecc.

 

 

Invece, attraverso la scheda “Attività” riportata più sotto sarà possibile controllare

  • ogni operazione effettuata all’interno della cartella (aggiunta e cancellazione files, modifiche, ecc.);
  • chi ha compiuto dette operazioni;
  • quando le ha compiute.

 

GDPR Compliance

Con il sistema illustrato sarà possibile trattare i dati personali in conformità a quanto prescritto dal GDPR, in quanto:

  • allo stato dell’arte, il cloud costituisce uno strumento sufficientemente sicuro (vedi “GDPR: come archiviare i documenti informatici in modo sicuro?“);
  • le finalità del trattamento dei dati personali vengono palesate prima ancora di iniziare il trattamento stesso;
  • l’interessato al trattamento dei dati personali, munito delle credenziali di accesso alla cartella contenente i dati al medesimo riferibili, potrà costantemente monitorarli e controllare se detti dati sono coerenti alle finalità del trattamento;
  • il software messo da disposizione dal cloud, tenendo traccia cronologica di ogni modifica apportata, potrà essere utile ai fini della tenuta del registro dei trattamenti.

Ovviamente, il sistema illustrato non garantisce la completa conformità del trattamento se non si usano anche altre accortezze, quali, ad esempio:

  • l’utilizzo di passwords “solide”;
  • la corretta scelta di applicazioni sicure per la gestione del cloud;
  • l’aggiornamento delle stesse applicazioni;
  • ecc.

 

GDPR: come archiviare i documenti informatici in modo sicuro?

L’art. 32, Regolamento UE 2016/679 (GDPR), dispone quanto segue:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.

Considerato che, in concreto, non sono definite tali misure di sicurezza, è necessario domandarsi quale sia il modo più sicuro per archiviare i documenti informatici.

Possesso del supporto e possesso dei files

Spesso si pensa che avere il possesso del supporto materiale sul quale sono salvati i documenti informatici sia la soluzione più sicura.

Ciò potrebbe essere vero se il supporto materiale non fosse connesso (mai) al web, direttamente (un pc, uno smartphone, ecc.) o indirettamente (una c.d. penna usb, un hard-disk esterno, ecc.).

Tuttavia, oggi è pressoché impensabile usare un dispositivo informatico soltanto offline.

Quindi, la sicurezza dei dati archiviati sul dispositivo informatico è affidata esclusivamente alla “tenuta” del software ivi installato.

Laddove tale software presentasse delle vulnerabilità, o semplicemente non fosse aggiornato, un malintenzionato potrebbe facilmente appropriarsi dei dati presenti sul dispositivo informatico.

Il proprietario del dispositivo informatico, in tal caso, pur rimanendo in possesso del dispositivo stesso, verrebbe spogliato del contenuto senza neppure accorgersi dell’intrusione da parte di terzi.

In casa o in banca?

Le considerazioni svolte più sopra devono indurre a valutare soluzioni alternative, tenendo conto che custodire dei documenti informatici è come custodire denaro o preziosi: è meglio nasconderli in casa sotto il materasso o depositarli in banca in una cassetta di sicurezza?

Fuor di metafora, la soluzione alternativa attualmente più sicura per archiviare documenti informatici sembrerebbe quella di affidarne la custodia a chi è esperto di sicurezza informatica e detiene i mezzi per contrastare efficacemente gli accessi non autorizzati.

La soluzione di cui si parla è quella che comunemente viene definita come cloud.

Il “cloud”

Si tratta di uno “spazio” localizzato su un computer (configurato come server) messo a disposizione da imprese specializzate.

Su questo spazio è possibile trasferire e archiviare i propri documenti informatici, accedendo telematicamente tramite delle credenziali.

Considerato che i dati sono trasferiti e archiviati in modo sicuro, perché criptati (naturalmente ci si riferisce ai servizi resi dai “big” del settore), il proprietario dei documenti dovrà principalmente preoccuparsi

  1. di utilizzare delle password “solide”;
  2. di modificare le password con una certa frequenza;
  3. di scegliere con prudenza le applicazioni che avranno accesso al cloud;
  4. di curarsi di aggiornare tempestivamente dette applicazioni.

Al resto, ci penserà il gestore del cloud.