• Cultura Digitale per Leader Aziendali

Sicurezza Informatica

3 step per gestire correttamente i dati sensibili in azienda

Posted on by Carmen Di Nardo
5 min

Quanti sono i dati che ogni giorno i dipendenti si trovano a gestire in azienda? Tanti, soprattutto se guardiamo alle aziende digitalizzate. Molte di queste informazioni servono per l’operatività quotidiana o per prendere delle decisioni strategiche. In questi casi i rischi legati alla loro diffusione sono minori. Se invece gestiamo dati che identificano un soggetto e la sua sfera personale allora il discorso cambia radicalmente. Come fare per gestire correttamente i dati sensibili in azienda? Ecco alcuni suggerimenti per agevolare la condivisione dei dati personali in azienda e con gli stakeholder senza esporsi a rischi eccessivi. 

Vuoi ascoltare l’audio dell’articolo? Clicca play ⇓

Letto da: Linda Grasso

Cosa significa l’espressione dati personali?

Quando si entra in un terreno impervio come quello dei dati personali non conviene dare una definizione generica in quanto si rischierebbe di omettere qualcosa. Mai come in questo caso ogni parola è indispensabile per non commettere errori di gestione delle informazioni.

Ecco perché, per chiarire il rapporto tra dati personali e dati sensibili, ho scelto di far riferimento alla definizione data dal Garante per la Protezione dei Dati Personali:

“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”

In questa macro categoria rientrano i dati:

  • anagrafici che permettono l’identificazione diretta della persona;
  • sensibili che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale ma anche le informazioni relative alla salute o alla vita sessuale;
  • genetici, ovvero i caratteri che formano il patrimonio di un gruppo di individui affini;
  • biometrici e quelli relativi all’orientamento sessuale;
  • giudiziari relativi a condanne o reati.

Cosa succede quando questi dati passano dall’interessato, ovvero la persona fisica alla quale questi dati fanno riferimento, al titolare, ovvero il soggetto, pubblico o privato, che dovrà gestirli? Si entra nel campo del trattamento dei dati personali, una materia delicata, che prevede una gestione interna aziendale e un adeguamento alle norme legislative.

Quali sono i dati personali in azienda?

Entriamo ora nel merito di quelli che, in azienda, sono identificati come dati personali. Siano essi interni, in quanto dati che appartengono ai dipendenti, o esterni ovvero che contengono informazioni delicate dei clienti, la loro tutela non ammette errori. In quale rischio incorre chi diffonde i dati personali? Si va dal risarcimento del danno al carcere per i reati penali. Ecco perché non si può essere superficiali.

Nei database aziendali ci sono dati anagrafici dei dipendenti utili alla definizione dei rapporti di lavoro e che spesso vengono inviati ai consulenti di lavoro esterni; dati personali dei clienti che servono ad emettere fattura o a inviare/ricevere pagamenti; nel caso di aziende ospedaliere anche dati genetici, biometrici e sensibili.

Il passaggio di queste informazioni tra i reparti aziendali, o verso l’esterno, è un aspetto da gestire con cautela ma non per questo da evitare a priori per il timore di sbagliare. In realtà basterebbe che l’azienda seguisse delle linee guida comunicandole correttamente ai suoi collaboratori. In questo modo la condivisione dei dati avverrà in contesti protetti.

Condivisione intelligente dei dati personali

Primo passo: definire politiche personalizzate per il trattamento dei dati

Quando si raccolgono dati sensibili o personali è necessario che sia chiaro, a tutti gli attori coinvolti nel processo, quali siano le politiche di trattamento delle informazioni.

La diffusione di Internet ha portato in rete una quantità enorme di dati, personali e non. Ciò ha richiesto la stesura di una regolamentazione a cui tutte le aziende si sono dovute poi adeguare: in Europa ha preso il nome di GDPR (General Data Protection Regulation).

Al di là di quelle che sono le regolamentazioni generali è importante che ogni azienda stili delle linee guida da seguire per il trattamento dei dati. In questo modo tutti i dipendenti, siano essi interni o esterni, sapranno come comportarsi quando si trovano a gestire dati sensibili. Se metto in chiaro cosa succede alle informazioni che i dipendenti e i clienti decidono di condividere con l’azienda andrò a ridurre drasticamente i timori e i pregiudizi legati ai rischi.

Iscriviti alla nostra newsletter

Secondo passo: non aver paura di condividere i dati

In tutti i lavori, quando si ricopre un ruolo di responsabilità, si accede ad una quantità tale di dati che a volte capita di aver timore di condividerli. Specialmente quando si tratta di dati personali. Eppure se si fa attenzione a monte non solo i rischi sono quasi nulli ma dalla condivisione delle informazioni l’azienda, il dipendente o il cliente potrà trarne benefici consistenti.

Qualche esempio? Le aziende necessitano dei dati personali per effettuare tutte le transazioni economiche, verso i clienti e i dipendenti. Condividere i dati personali con un’azienda, nel caso del lavoratore, serve per ricevere lo stipendio, nel caso invece di un cliente, serve anche per migliorare la Customer Satisfaction. Molte aziende che gestiscono e-commerce di abbigliamento richiedono oltre ai dati anagrafici anche dati personali utili non solo per la transizione che si sta effettuando ma anche per personalizzare le future offerte.

Per agevolare la condivisione dei dati le aziende devono essere trasparenti sul loro trattamento; comunicare ai clienti o ai dipendenti le motivazioni per le quali si richiede la condivisione di tali informazioni; e rispondere ai dubbi generati dalle influenze emotive e dai pregiudizi pregressi. In questo caso una governance collaborativa è la miglior strada da percorrere.

In azienda è fondamentale stilare delle linee guida per tutelare la condivisione dei dati personali. Ecco 3 passaggi per farlo correttamente. Condividi il Tweet

Terzo passo: la sicurezza passa anche dagli smart contract

Se non ti sei mai interessato agli smart contract ti consiglio di leggere “Smart Contract e DApps: cosa sono e come funzionano” per valutare la possibilità di creare contratti senza intermediazione ma validi legalmente.

Che legame hanno i contratti intelligenti con il trattamento dei dati personali? Quando si parla di privacy o di informazioni che richiedono una protezione maggiore gli smart contract possono essere un valido aiuto. Per loro definizione gli smart contract sono immutabili, irrevocabili e, associati a piattaforme come Blockchain, garantiscono che i dati, custoditi al loro interno, non possano essere modificati. Decidere di stipulare un accordo di condivisione dei dati, utilizzando questa tecnologia, significa eliminare gli intermediari ed essere sicuri che i dati contenuti siano letti solo dagli interessati e dai titolari.

E se il database che custodisce le informazioni o il cloud vengono hackerati? Garantire la tutela dei dati attraverso tutte le tecnologie e i software, in linea con gli standard della Cyber Security, è una pratica che riduce i rischi per l’azienda e tranquillizza chi dovrà inserire i propri dati.

 

Quanto è stato utile questo articolo?

Clicca la lampadina per votare!

Cyber security e digitalizzazione
Cyber Security: le opportunità e i rischi della digitalizzazione
insider threat: 4 identikit di dipendenti
Attacco interno: 4 identikit di dipendenti che potrebbero rivelarsi una minaccia per l’azienda
Carmen Di Nardo

Content Manager del team DeltalogiX. La scrittura le ha permesso di unire la sua passione per la tecnologia e l'innovazione con le sue skills di comunicatrice. La sua sfida quotidiana è quella di riuscire a trasformare i concetti complessi della Digital Transformation in letture che durino il tempo di un caffè.