Ogni imprenditore è anche Titolare del Trattamento dei dati in proprio possesso. Partendo da questa elementare considerazione oggi, tra gli elementi essenziali dell’organizzazione della propria azienda per evitare di incorrere in gravi responsabilità e pesanti sanzioni, l’imprenditore deve prevedere anche un sistema di protezione dei dati che non si limita solo sicurezza informatica. Ciò è valido non solo per le grandi aziende, ma anche per le PMI delle quali, solo nel 2017, oltre il 47% è stato oggetto di attacchi informatici con danni economici e, spesso, anche di immagine. Dall’anno successivo si sono aggiunti i rischi di sanzioni come previsto dal GDPR, oltre alle possibili richieste danni da parte degli Interessati.

Indispensabile pertanto in un’azienda chiedersi chi sono i soggetti che possono venire, in qualsiasi maniera, in contatto con i dati da proteggere e valutare i singoli fattori di rischio, ad iniziare da alcuni dati che è facile individuare in rete e che dovrebbero allarmare ogni imprenditore. Sembra infatti che oltre il 90% delle perdite dati in azienda sia imputabile ai dipendenti. Più nel dettaglio il Data Breach Investigation Report di Verizon del 2018 riporta che il 20% degli incidenti collegati alla cyber security e il 15% delle violazioni dati analizzati provengano da soggetti interni alle organizzazioni. E consideriamo il dato molto sottostimato a causa di una naturale ritrosia da parte proprio delle aziende a denunciare quelle che sono non solo vere e proprie perdite di dati, ma anche gravi falle nei sistemi di sicurezza e controllo e, adesso, anche violazioni del GDPR.

Alcune considerazioni in merito?
Oggi molte aziende sono strutturate in open space: pur considerati ambienti migliori di lavoro da parte di chi li ritiene strumenti innovativi che stimolano produttività e collaborazione, sono luoghi dove il rischio che qualcuno si possa imbattere in documenti, fascicoli, cartelline di cui non doveva sapere niente, è alto. Un problema simile si ha ancora in molti studi medici dove l’agenda degli appuntamenti, con nomi, cognomi e numeri di telefono, si trova in bella mostra sulla scrivania della segretaria.

Non solo: oggi molti dipendenti lavorano da casa o in ambiente esterno, magari con computer forniti dal datore o device che si collegano alle reti aziendali, con conseguente maggior rischio per i dati. Abbiamo la certezza, inoltre, che quello stesso computer non venga usato dai figli dal lavoratore per giocare o accedere a social che presentano alto rischio per i dati come, ad esempio, Tik Tok? E quegli stessi PC, tablet, cellulari ben potrebbero essere utilizzati per fare acquisti o essere connessi alla rete Wi-Fi di un qualsiasi locale o albergo. Dalla perdita di una chiavetta o di un PC, fino al furto di dati tramite l’accesso ad una rete poco sicura...queste sono tutte eventualità dalla cui considerazione un’azienda non può prescindere per valutare il rischio di data breach.

Altri aspetti su cui riflettere sono quelli connessi alla possibilità di dipendenti non solo infedeli, ma anche a quelli che, in un normale ciclo produttivo, lasciano l’azienda per approdare ad altre realtà più remunerative ed alle quali fanno assolutamente gola i dati di cui il nuovo assunto è in possesso. Altro potenziale rischio è quello di un dipendente o un socio che decide di mettersi in proprio, portando con se il database dei clienti o dei fornitori. A parte gli aspetti di liceità e concorrenza sleale, è evidente come di questi dati ne venga poi fatto un uso non conforme al consenso a suo tempo prestato dall’interessato. Non ultimo, va considerato il rischio che il dipendente licenziato o vittima di mobbing possa vendicarsi cancellando qualche file o esponendo i dati dei clienti in qualche database pubblico non protetto. Ricordiamo infine il caso dei biker che volevano rendere pubblici i nomi dei clienti VIP cui consegnavano la cena a domicilio e che non davano un’adeguata mancia.

Se da un lato esiste la possibilità per un’azienda di tutelarsi da molti di questi comportamenti, dall’altro è sempre il Titolare che ha la responsabilità legale del Data Breach ed è il soggetto che dovrà subire le sanzioni del Garante e eventuali richieste di risarcimento danni. Una situazione che, adesso, ogni imprenditore non può permettersi di non valutare prima che ciò accada.

Strumenti a disposizione? Da un lato, ovviamente, quello del controllo e della sicurezza informatica, che si aggiungono all’educazione del dipendente e ad un costante aggiornamento; dall’altro una piena compliance con il dettato del GDPR. Non farlo sarebbe oltremodo oneroso.