Come posso definire i gradi di sicurezza per un dato?
La sicurezza del dato e del suo trattamento viene disciplinato nell’art. 24 del GDPR e chiarisce che il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate al fine di proteggere il dato e deve essere in grado di dimostrare che il trattamento dei dati personali è effettuato in maniera conforme al Regolamento Europeo.
La prima condizione è la classificazione dei dati utilizzati, ovvero che ad ogni voce sia assegnata una valutazione di riservatezza.
Per ogni grado di riservatezza possono quindi essere impostate delle autorizzazioni di accesso a seconda delle funzioni aziendali interessate, tenendo a mente che ogni programma ed ogni utente del sistema dovrebbero operare utilizzando il minimo insieme di privilegi necessari a portare a termine il proprio compito, così limitando il danno derivante da un incidente o da un errore (principio del minimo privilegio).
Andrebbe quindi definita una lista di controllo degli accessi (in gergo, ACL) per definire quali utenti o processi aziendali possano accedere a determinate risorse del sistema e quali operazioni specifiche possano compiere.
Una classificazione di base consiste nel definire le seguenti categorie di riservatezza:
- informazioni confidenziali, nelle quali rientrano i segreti commerciali, il know-how ed i dati personali sensibili trattati dall’azienda, tutti i quali andrebbero condivisi solamente da predeterminati soggetti autorizzati. In tale contesto è necessario prestare particolare attenzione alle utenze con privilegi di amministratore, per le quali è importante differenziare i profili di autorizzazione e le credenziali di accesso al sistema che, per l’appunto, non devono essere condivise da più individui;
- informazioni private, ovvero i dati finanziari dell’azienda e dei suoi dipendenti, clienti e tutte le informazioni che si ritiene di dover utilizzare solamente entro la struttura aziendale;
- informazioni interne, nelle quali possono rientrare l’organigramma, le procedure che regolano l’attività aziendale e quelle informazioni la cui eventuale rivelazione non dovrebbe causare grave nocumento all’impresa;
- informazioni pubbliche, che possono essere liberamente comunicate all’esterno.
Domanda
Cosa definisce l’art. 24 del Gdpr?
-
A
Chiarisce che il titolare del trattamento, deve mettere in atto misure tecniche e organizzative adeguate al fine di proteggere il dato, deve essere in grado di dimostrare che il trattamento dei dati personali è effettuato in maniera conforme al Regolamento Europeo.
-
B
Che posso gestire i dati sia in Europa che fuori Europa e posso cederli ad aziende per la gestione di comunicazioni sia promozionali che informative.
-
C
Definisce la possibilità di acquisire dati senza un consenso chiaro, l’interessato esprime la possibilità di fornirvi il dato esclusivamente se viene sancito il diritto all’oblio.