Autore: wp_6910267

Cosa potrebbe infastidirci di più? Constatare, una mattina, che qualcuno ha tagliato una gomma dell’automobile? Oppure scoprire, durante un viaggio in auto, che una piccola perdita ha danneggiato il motore, senza rimedio?

Il parallelo con il mondo dei dati personali è presto fatto. La modifica delle informazioni è più devastante della loro distruzione. Pensiamo ad un centro cardiologico che ha messo in piedi un sistema di telerilevazione dei parametri clinici dei propri pazienti e immaginiamo che la moglie di un ex paziente, deceduto, voglia vendicarsi nei confronti del centro, ritenendolo il responsabile della morte. La criminale conosce bene il sistema perché lo utilizzava suo marito, ma decide di non concepire un attacco per mettere fuori uso la telerilevazione distruggendo l’intero elenco dei pazienti. Pensa, invece, di intercettare i parametri telerilevati, di modificarli e di trasmetterli al centro cardiologico, senza che quest’ultimo si accorga dell’intrusione.

Il centro cardiologico subirà un sabotaggio silenzioso, finché non accadrà qualche evento acuto, per esempio un infarto, apparentemente inspiegabile in base ai (falsi) parametri cardiaci del paziente.

In caso di disastro conclamato, il titolare più accorto può ripristinare i dati da una copia di salvataggio: il centro cardiologico, per esempio, avrebbe chiesto immediatamente l’intervento del proprio tecnico, se la vedova avesse causato un blocco del sistema. E, durante la situazione di blocco, la rilevazione dei parametri clinici sarebbe stata effettuata con procedure alternative (per esempio, andando a casa dei pazienti). La modifica dei dati, invece, è una violazione più subdola, agisce senza fare rumore finché non avviene un evento dannoso che può essere irreversibile.

Oltre ai backup, quindi, occorre, per rilevare comportamenti sospetti, un monitoraggio costante delle infrastrutture elaborative, comunicative e di memorizzazione.

Attenti alla vedova! Potrebbe essere poco allegra…

Oggi va di moda l’approccio olistico che, da vocabolario Treccani, è l’aggettivo di olismo: tesi secondo cui il tutto è più della somma delle parti di cui è composto. E ci pare ovvio.

Olismo nella cura della salute, olismo nello studio delle dinamiche sociali, olismo nella gestione aziendale.

L’approccio olistico, in pratica, dovrebbe consentire di assumere una decisione, in campo medico, sociale o aziendale, avendo cura di valutarne attentamente i riflessi sull’intero sistema al quale è applicata anziché solo su una sua singola componente. Facile a dirsi, difficile a farsi.

In ogni caso, visto che ci occupiamo di protezione di dati personali, possiamo dire che nulla è più utile, in questo ambito, che affrontarlo con un approccio olistico.

Facciamo un esempio.

L’avvio di un servizio di reception degli ospiti che accedono alla sede di un’azienda (ma vale anche per le organizzazioni pubbliche) richiede il coinvolgimento di molte funzioni: l’ufficio organizzazione per l’identificazione dei dati necessari al riconoscimento dell’ospite, l’ufficio legale per la stesura dell’informativa e dell’acquisizione del consenso, l’ufficio IT per la creazione del software di accettazione degli ospiti, l’ufficio acquisti per l’approvvigionamento degli armadi in cui conservare la documentazione, l’ufficio formazione per addestrare l’addetto al trattamento dei dati personali, ecc. Non basta predisporre un bancone ed un addetto!

Quindi, non è poi così complicato applicare un approccio olistico. Basta un poco di attenzione e qualche riunione “no perditempo” per assencondare il principio della privacy by design, ovvero la strada olistica del GDPR. Inoltre, il Reg. 679/2016 favorisce tutto questo indicando la designazione di un Data Protection Officer (in molti casi obbligatoria) che sia coinvolto in qualsiasi decisione che riguardi il trattamento dei dati personali e che sappia sensibilizzare tutte le funzioni aziendali. Per questo, meglio scegliere un DPO con solide esperienze organizzative piuttosto che specialistiche: a vocazione olistica invece che solistica.