Chiunque svolga un’attività che abbia a che fare con la raccolta e il trattamento dei dati deve predisporre tutte le misure atte a garantirne la sicurezza. Prima ancora di una prescrizione legale, ribadita dal GDPR, questa è una regola di buon senso: perdere l’accesso ai dati dei clienti o farseli “soffiare” dal malintenzionato di turno può condurre a conseguenze disastrose per è responsabile della loro gestione. E questo vale non solo per le grandi aziende, che dalla loro hanno policy interne efficienti e reparti IT all’avanguardia, ma anche per gli studi professionali di qualsiasi dimensione. Quasi superfluo aggiungere quanto un data breach possa costare, in termini economici e d’immagine, a uno studio che tratta quotidianamente con i dati dei propri clienti.
Sicurezza innanzitutto: ma come migliorarla?
Parlando di trasformazione digitale, un’espressione che salta fuori spesso è security by design: ciò significa, in buona sostanza, che sicurezza e protezione dei dati sono il basamento su cui deve poggiare l’intera attività professionale. Che si parli di infrastruttura IT, di software o di pratiche dei collaboratori, tutto deve avere come principio fondante la sicurezza dei dati. E deve confluire in un sistema integrato e virtuoso, perché nessuna struttura diventa a prova di bomba installando dall’oggi al domani un nuovo software o cambiando un server, ma ha bisogno di strumenti, tecnologie e pratiche corrette. Se non le ha, è davvero il caso di pensarci.
Punto di partenza è un’infrastruttura IT sicura: una strategia vincente prevede l’uso di protezioni perimetrali e degli endpoint, sistemi efficienti di backup e di Disaster Recovery con l’ausilio del cloud. Ma non basta: per proteggere i dati dei clienti è necessario impostare una policy rigida per le credenziali e fornire ai collaboratori diversi livelli di accesso ai dati, così che ognuno di essi disponga solo delle informazioni di cui ha effettivamente bisogno per il suo lavoro.
Le strategie: crittografia, pseudonimizzazione & Co.
Parlando di strategie atte a offrire sicurezza ai propri dati, l’uso della cifratura (o crittografia, che dir si voglia) è fondamentale. Anzi, in un mondo in cui ai dati dello studio possono accedere i laptop dei collaboratori, le chiavette USB, gli smartphone e i tablet, l’accesso ai dati personali concesso solo ai destinatari autorizzati acquista importanza vitale.
Lo scopo della crittografia è facile da capire, poiché si tratta di rendere illeggibili le informazioni a chi non possiede la specifica ‘chiave’ per decodificale. Se correttamente implementata, la crittografia mette al sicuro il sistema dello studio da furti per negligenza – si pensi al laptop o al dispositivo USB lasciato in aeroporto – e dagli accessi non autorizzati; una vera manna per chi gestisce dati sensibili. Un sistema di cifratura efficiente deve inoltre difendere sia i dati “a riposo”, ovvero quelli disponibili a livello di disco, partizione o file, sia quelli in transito, cosa resa possibile per esempio dai certificati SSL che vengono impiegati dalla totalità dei siti web sicuri.
L’importanza della crittografia nella cyber security e nella protezione dei dati è testimoniata dalla citazione diretta all’interno del GDPR, in vigore dallo scorso maggio; così come è trattata direttamente un’altra tecnica di data masking: la pseudonimizzazione. Dietro un termine difficile da pronunciare si nasconde, di nuovo, un concetto tutto sommato semplice: la pseudonimizzazione consiste nel sostituire buona parte delle informazioni di un record contenente dati personali con informazioni mascherate o pseudonimi. Il GDPR stesso stabilisce che in questo modo: “I dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. Morale: parte delle informazioni sensibili viene sottratta dai database e sostituita con pseudonimi; in questo modo i dati rimanenti, che hanno ancora un valore se esaminati in forma aggregata, non possano più condurre all’identificazione del soggetto a meno che non intervengano anche gli altri, che però stanno altrove e sono soggetti a valide misure di protezione (crittografia). Il bello della pseudonimizzazione è che il titolare del trattamento può in ogni momento risalire ai dati completi, cosa che invece non può fare nel caso egli adotti un’altra tecnica di data masking come l’anonimizzazione.
Per il sistema, i vantaggi sono evidenti: maggiore apertura e condivisione dei dati (in forma aggregata) con clienti, fornitori e collaboratori, senza contare che un’eventuale perdita o furto potrebbe portare solo a un sottoinsieme di dati non sufficiente a ricostruire l’intero record. Così si spiega perché questa pratica sia coerente con le misure previste dal GDPR e in linea con le migliori best practice di mercato. Ma attenzione: è solo una strategia, non è un obbligo e soprattutto non esclude che si debbano tenere tutti i comportamenti virtuosi necessari per proteggere le informazioni in proprio possesso. Se ci si dimentica delle basi, poi non c’è tecnica che tenga.