1

Come posso definire i gradi di sicurezza per un dato?

La sicurezza del dato e del suo trattamento viene disciplinato nell’art. 24 del GDPR  e chiarisce che il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate al fine di proteggere il dato e deve essere in grado di dimostrare che il trattamento dei dati personali è effettuato in maniera conforme al Regolamento Europeo.

La prima condizione è la classificazione dei dati utilizzati, ovvero che ad ogni voce sia assegnata una valutazione di riservatezza.

Per ogni grado di riservatezza possono quindi essere impostate delle autorizzazioni di accesso a seconda delle funzioni aziendali interessate, tenendo a mente che ogni programma ed ogni utente del sistema dovrebbero operare utilizzando il minimo insieme di privilegi necessari a portare a termine il proprio compito, così limitando il danno derivante da un incidente o da un errore (principio del minimo privilegio).

Andrebbe quindi definita una lista di controllo degli accessi (in gergo, ACL) per definire quali utenti o processi aziendali possano accedere a determinate risorse del sistema e quali operazioni specifiche possano compiere.

Una classificazione di base consiste nel definire le seguenti categorie di riservatezza:

  1. informazioni confidenziali, nelle quali rientrano i segreti commerciali, il know-how ed i dati personali sensibili trattati dall’azienda, tutti i quali andrebbero condivisi solamente da predeterminati soggetti autorizzati. In tale contesto è necessario prestare particolare attenzione alle utenze con privilegi di amministratore, per le quali è importante differenziare i profili di autorizzazione e le credenziali di accesso al sistema che, per l’appunto, non devono essere condivise da più individui;
  2. informazioni private, ovvero i dati finanziari dell’azienda e dei suoi dipendenti, clienti e tutte le informazioni che si ritiene di dover utilizzare solamente entro la struttura aziendale;
  3. informazioni interne, nelle quali possono rientrare l’organigramma, le procedure che regolano l’attività aziendale e quelle informazioni la cui eventuale rivelazione non dovrebbe causare grave nocumento all’impresa;
  4. informazioni pubbliche, che possono essere liberamente comunicate all’esterno.

 

Domanda

Cosa definisce l’art. 24 del Gdpr?

  • A

    Chiarisce che il titolare del trattamento, deve mettere in atto misure tecniche e organizzative adeguate al fine di proteggere il dato, deve essere in grado di dimostrare che il trattamento dei dati personali è effettuato in maniera conforme al Regolamento Europeo.

  • B

    Che posso gestire i dati sia in Europa che fuori Europa e posso cederli ad aziende per la gestione di comunicazioni sia promozionali che informative.

  • C

    Definisce la possibilità di acquisire dati senza un consenso chiaro, l’interessato esprime la possibilità di fornirvi il dato esclusivamente se viene sancito il diritto all’oblio.