È possibile che questo documento venga letto utilizzando il proprio portatile mentre si è all'aeroporto in attesa di un volo per la prossima destinazione. Oppure quando si è a casa nel fine settimana mentre si tenta di organizzare tutte le cose da fare. Ma ci si chiede mai se tutte le informazioni sul portatile sono veramente sicure? Che cosa succederebbe in caso di furto o di smarrimento del portatile? Gli ultimi progetti e piani di marketing sono protetti? Le informazioni private sui clienti sono protette? Oppure il rischio è che la propria azienda finisca sui giornali per aver perso migliaia di informazioni private sui clienti?
"U.S. Survey: Confidential Data at Risk",rileva che "l'81% delle 484 risposte al sondaggio riporta che nelle organizzazioni si sono verificate almeno una volta perdite o furti di portatili contenenti informazioni aziendali riservate o confidenziali negli ultimi 12 mesi".
C'è motivo di preoccuparsene? La risposta è sì, perché la perdita dei portatili è un problema grave. Con capacità di memorizzazione sempre crescenti, i portatili sono in grado di memorizzare grandi quantità di informazioni personali e aziendali. Sono strumenti portatili sempre più diffusi ed estremamente pratici, ma perdere i dati riservati che essi contengono può avere un notevole impatto sui profitti, sulla buona reputazione e sulla posizione legale dell'azienda rispetto alle leggi governative. Può anche portare alla perdita del proprio posto di lavoro.
I responsabili tecnici e aziendali devono esaminare gli scenari, il clima normativo e le riduzioni dei rischi legati all'esposizione dei dati. Tuttavia, gli stessi concetti, preoccupazioni e soluzioni si applicano anche ai computer desktop che possono andare incontro a rischi analoghi a causa della possibilità di furti e in caso di scenari che includano l'accesso senza limitazioni.
Vi raccontiamo l’esempio di un’azienda, che illustra il problema e le possibili sfaccettature.
"un'azienda di medie dimensioni specializzata in tecnologia, realizzò un prodotto che i clienti ordinarono tramite il suo sito Web. Le informazioni personali nel database ddell’azienda includevano i nomi dei clienti, i numeri delle carte di credito, gli indirizzi e i numeri di telefono. I clienti erano canadesi, statunitensi, del Regno Unito e francesi.
Filippo, un instancabile analista junior dell’azienda, era solito portare a casa il lavoro con sé. Un giorno, prima di lasciare il lavoro, Filippo copiò un foglio di calcolo con le informazioni sui clienti sul suo portatile per potervi eseguire dei rapporti. Quella stessa sera, il suo portatile fu rubato dalla sua auto mentre stava facendo shopping. Il furto fu immediatamente segnalato da Filippo al suo responsabile e denunciato alla polizia.
Filippo e il suo responsabile discussero dell'incidente con l'ufficio legale dell'azienda, nonché con un consulente esterno. Da tutte queste discussioni si evinse che sarebbe stato necessario informare tutti i loro clienti circa la possibile divulgazione delle loro informazioni personali. Essi scrissero immediatamente una lettera di spiegazioni da inviare ai clienti e crearono una linea telefonica diretta per rispondere alle domande dei clienti. Inoltre, offrirono un anno di monitoraggio del credito per ogni cliente incluso nel database per cercare di impedire il furto di identità.
Sfortunatamente, questi sforzi non misero fine ai loro problemi. Sebbene non vi fosse stata alcuna indicazione che i dati persi fossero stati utilizzati per scopi illeciti, furono intentate varie azioni legali collettive negli Stati Uniti, in Francia e nel Regno Unito da parte di clienti che avevano accusato l’azienda di grave violazione dei diritti alla privacy dei clienti. La storia fu subito ripresa dai principali media e culminò in un articolo di due pagine sul Wall Street Journal. Poche settimane dopo la perdita del portatile, le azioni dell'azienda persero l'8% del loro valore a causa del probabile effetto di questa vicenda sulla vendita del suo prodotto. Inoltre, i costi complessivi di questo incidente ammontarono a circa $600.000".
Da un punto di vista della tutela dei dati personali, chiunque utilizzi supporti rimovibili o personal computer portatili debba considerare in maniera rilevante l’opportunità di utilizzare tali presidi, anche nel caso in cui non si tratti di misure minime. Tuttavia, per alcuni trattamenti, la previsione di cifratura dei dati, se non proprio una misura minima, risulta qualcosa di molto vicino. E’ il caso previsto dall’art. 22 comma 6 del Codice, di cui ci si occupa poco spesso perché, pur essendo a stretto rigore una misura di sicurezza, è posto al di fuori del disciplinare. Esso prevede che i dati sensibili o di origine giudiziaria, conservati in elenchi trattati elettronicamente, siano cifrati o resi inaccessibili se non in caso di necessità. E’ difficile comprendere quando si debba applicare un ramo o l’altro della norma, tuttavia appare prudente considerare sempre modalità di cifratura in corso di trattamento quale misura minima.
Infotech in tutto questo presenta un bagaglio di competenza e di strumenti, sia a livello tecnico che normativo, in grado di soddisfare le esigenze di qualsiasi realtà ed esigenza.
