Privacy: sempre la solita storia …..

Privacylab es

 

Dopo 11 anni di attività, corsi, consulenze e seminari le aziende ancora faticano a capire cosa sia la privacy.

Privacy non significa solo burocrazia e produzione di documenti da tenere in azienda, bensì capire gli ambiti dei trattamenti (cosa tratto, perché li tratto, di chi sono i dati, a chi li comunico ecc).

Ah ma noi, abbiamo sempre fatto il DPS nonostante non sia più da fare. Risp.: Bravissimi e concordo in pieno. Anche perché una volta proceduralizzato il sistema, perché buttare alle ortiche il tutto?

Ah ma noi, abbiamo il CRM. Ah ma noi, abbiamo tutte le misure di sicurezza in ordine. Ah ma noi, abbiamo la video-sorveglianza installata da un professionista. Ah ma noi, Ah ma noi, Ah ma noi …..

Anche oggi durante una consulenza in un’azienda, dopo i vari “Ah ma noi”, immancabilmente è spuntata l’informativa generica. Ma bastaaaa!

L’impalcatura normativa si basa sul fatto che i dati che trattiamo in azienda non siano i nostri. Siccome non sono nostri occorre chiedere il permesso al soggetto interessato se possiamo trattare i suoi dati specificandone le motivazioni, le modalità e se per caso questi dati li comunichiamo a terzi oppure che addirittura li diffondiamo. Poi questi dati, siccome non sono nostri, occorre metterli in sicurezza.

Ora, a me sta bene che abbiate fatto il DPS e che abbiate il cartello della video-sorveglianza e che abbiate gli antivirus e che fate i back-up con regolarità quotidiana.

Allora il DPS lo puoi anche buttare, perché con delle informative fatte male ti serve a poco. Il cartello della video-sorveglianza non compilato vale una sanzione che si aggira attorno ai 36.000 euro. Meno male che avete l’antivirus anche perché se non ce l’hai è giusto che tu vada in galera … Ma alla domanda “avete redatto un piano di disaster ricovery?” ho visto l’IT manager cambiare colore …. Eh sì dico io, lo devi avere. Perché mi chiede lui …. I vaffa stavano per uscirmi dalla bocca, ma sono riuscito a trattenermi.

Allora ancora una volta: i dati non sono tuoi, li devi mettere in sicurezza. Ah ma io ho il back-up. Bravissimo dico io. Problema. Se tu non ci sei per un mese in azienda ed in caso di incidente, cosa fate?  Ah già non ci avevo pensato, dice lui … Va beh!

La legge ci dice che dobbiamo essere in grado di ripristinare i dati entro e non oltre i 7 gg. di tutti i pc e server che contengono dati personali. Quindi fondamentale la stesura di un piano di ripristino dei dati. Ma aggiungo anche che sarebbe opportuno anche fare un test per la verifica della procedura ….

Alla prossima.

 

 

 

 

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...