Il GDPR, come non abbiamo mancato a più riprese di porre in evidenza, lascia la massima libertà ad ogni Titolare, ergo ad ogni Imprenditore, di decidere autonomamente in piena, forse troppa, discrezione, le misure da adottare per proteggere i dati personali di cui viene nella disponibilità. Prova di ciò è possibile evincerla dal fatto che in tutto il testo del corposo provvedimento non si trova la parola password, che ben sappiamo essere il primo semplice ma fondamentale mezzo per mettere in sicurezza il contenuto dei propri archivi.

Ciò non toglie che sia dovere di ogni Titolare non solo adottare comportamenti standard che vadano oltre la soglia del minimo per proteggere i dati, ma anche assicurarsi che vengano rispettati e, proprio in questa direzione, una policy aziendale per le password è da considerarsi indispensabile.

Viceversa si scopre da un report di Acronis Cyberthreats Report 2020 che circa l’ottanta percento delle aziende non ha segnalato neppure criteri cui i dipendenti debbano attenersi per scegliere password sicure. Massima libertà che porta alla sgradevole sorpresa di venire a conoscere che molte password contengono il nome dell’azienda, date di nascita, nomi di calciatori e così via. Inoltre non tutte le aziende impongono di cambiare periodicamente le password. Un comportamento ai confini del suicidio in materia di protezione dati laddove si pensi come la pandemia abbia portato, con lo smart working in espansione, ad un vertiginoso aumento dei rischi per tutte le aziende. E sul punto ricordiamo che non solo i computer e gli smartphone dovrebbero avere una password efficace, ma anche le reti per accedere ad internet dovvrebbero averne una allo stesso modo efficace.

Inevitabile che questi lavoratori siano più esposti ad attacchi da parte di pirati informatici o hacker che, con estrema facilità, possono entrare in possesso dei dati contenuti nei loro archivi o, peggio ancora, di quelli dell’intera azienda. Gli uffici anagrafe dei Comuni di Rieti e di Marentino, da quanto appreso in cronaca, sono state criptate proprio a causa di personale che stava lavorando da remoto.

Non dimentichiamo inoltre che lavorando da casa è possibile anche accedere a dati aziendali da un computer personale a cui accedono altri membri del nucleo familiare e che, pertanto, deve essere nella disponibilità di tutti e forse, addirittura, senza password. E, continuando sul punto, chissà se quegli stessi computer non vengano utilizzati da chi è meno attento alla sicurezza e decide di fare click su siti non controllati, mail spam o vere e proprie mail di truffe o contenenti ransomware. Un rischio che deve essere tuttavia considerato da ogni Titolare di trattamento.

Sul sito del Garante Privacy troviamo buoni consigli per dotare i nostri terminali di password efficaci: dalla lunghezza di almeno otto caratteri e l’uso di lettere, numeri, segni speciali, almeno una maiuscola ed evitare il proprio nome e date di nascita. Consigliare ai propri dipendenti dei leggere questa pagina e di applicarla cambiando password almeno ogni settimana, sia sui computer sia sulle reti, è un primo fondamentale passo che deve essere fatto da ogni impresa.