Davvero una azienda deve assicurarsi che le stampanti multifunzione siano conformi al regolamento europeo GDPR? La risposta è sì! Anzi…è forse l’adeguamento GDPR più urgente da fare. Per fugare ogni ulteriore dubbio, vogliamo fornirti alcuni validi motivi per puntare all’adeguamento GDPR della tua stampante multifunzione e le procedure che puoi adottare sin da subito per essere conforme al GDPR in caso di un controllo.
Perché conviene essere in regola con il GDPR?
Facciamo una premessa: il 25 maggio 2018 entrava in vigore il GDPR e la prima seria preoccupazione per le imprese è stata quella di mettere in sicurezza i sistemi informativi centrali che archiviano e trattano dati personali. In modo impulsivo e difensivo, il GDPR è stato inizialmente interpretato come un costo aziendale. A distanza di un anno, possiamo fare di meglio.
Se proviamo a cambiare paradigma, il tempo e le risorse impiegate nel GDPR possono essere considerate un investimento aziendale, una opportunità. Ci sono 6 validi motivi per cui una profonda riflessione sul trattamento dei dati può portare benefici.
- Sicurezza dei dati a livello periferico: non si dovrebbero sottovalutare i rischi che si corrono quando un punto di accesso periferico non è protetto. Le stampanti multifunzione hanno un sistema operativo indipendente, sono spesso collegate al cloud o alla infrastruttura aziendale, hanno porte di ingresso per collegare memorie di massa. Tutti possibili anelli deboli.
- Controllo dei costi: i tools, i software e i sistemi che vengono implementati sulla stampante multifunzione per la conformità al GDPR hanno funzionalità che permettono un controllo dettagliato del flusso dei dati, inclusi il monitoraggio delle attività del parco macchine e sistemi di autenticazione e limitazione selettiva per il personale. Come unire l’utile al dilettevole.
- Migliorare i workflow aziendali: il regolamento GDPR invita l’azienda a verificare le sue procedure interne e rivedere il ciclo di vita dei dati in suo possesso (Acquisizione, Conservazione, Controllo, Distruzione).
- Responsabilizzazione del team di lavoro: l’introduzione del GDPR ha chiarito senza giri di parole che i dati personali dei clienti non sono una proprietà aziendale. Si parla infatti di “responsabile del trattamento dei dati”: ogni persona del team è chiamata a rivedere il modo in cui accede ai dati e comunicare eventuali irregolarità per coadiuvare e tutelare il responsabile.
- Maggiore percezione di affidabilità: nell’era della comunicazione digitale le persone subiscono costantemente violazioni dei propri dati. E sono in grado di riconoscerle. L’attenzione aziendale verso le norme del GDPR assicura un impatto distintivo, professionale ed etico verso clienti e potenziali clienti.
- Rispetto della normativa GDPR: le conseguenze amministrative per l’azienda e quelle legali per il responsabile del trattamento sono davvero severe. Il Garante per la protezione dei dati personali, che è l’organo competente ad irrogare le sanzioni, può comminare multe fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Il Regolamento GDPR invita le aziende a verificare le sue procedure interne: il modo in cui introduce, utilizza, archivia e distrugge i dati sensibili e i dati personali di clienti, prospect e lead.
Avrai notato come abbiamo volutamente inserito gli aspetti sanzionatori solo in fondo. Ancora una volta si tratta di ribaltare il paradigma legato al GDPR: il regolamento GDPR non nasce per multare le aziende o costringerle a costosi adeguamenti.
Se si analizzano a fondo i primi 5 punti, si comprenderà facilmente come un attacco informatico abbia effetti negativi immediati sulla perdita di dati e sui costi di ripristino. D’altro canto, una fuga di dati o una gestione dozzinale ha effetti immediati anche sulla reputazione aziendale.
E ancora, una gestione dei flussi di dati aziendali inefficiente distrae il team di lavoro dalle attività che incidono maggiormente sui profitti di una azienda. Se non si analizzano a fondo i primi 5 punti, il danno per l’azienda è già in atto. Non è necessario arrivare alle sanzioni per inosservanza del GDPR.
Come verificare se le stampanti sono in regola con il GDPR?
Con un audit interno.
Prima che sia il Garante per la protezione dei dati personali a valutare le misure che hai adottato per la GDPR compliance, è senz’altro consigliabile una verifica ai dispositivi aziendali, alle procedure e alle policy della tua azienda.
Di seguito, una immagine con un approccio globale alla conformità GDPR per una azienda che fa un utilizzo intensivo delle funzionalità di un dispositivo multifunzione. In altri casi, le verifiche potrebbero essere di numero inferiore.
Il regolamento GDPR è un insieme di articoli e normative che aprono a una serie di domande e verifiche da fare (= audit)
Ecco alcune delle più importanti domande preliminari per il tuo GDPR Audit:
- che tipo di dati sensibili transitano nella stampante?
- dove vengono archiviati i dati in transito?
- l’accesso ai dispositivi avviene solo in locale o attraverso una rete aziendale e in cloud?
- posso sapere e dimostrare chi, quando e perché ha avuto accesso alla stampante?
- quali procedure adotto in caso di perdita di dati sensibili?
- sono in grado di risalire all’origine della violazione?
- se richiesto, come posso mostrare quali dati sensibili vengono trattati in azienda?
Il GDPR per le Stampanti Multifunzione
Per rispondere agli interrogativi del precedente paragrafo, ecco i riferimenti normativi del regolamento GDPR che sono cruciali per i dispositivi multifunzione della tua azienda.
Articolo 7 – Condizioni per il consenso
Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali
Problema: per il consenso prestato su carta è sufficiente mostrare la firma sul documento. Nel caso del consenso digitale non basta mostrare i dati archiviati, poiché archiviazione non significa conservazione digitale! Dovrai infatti dimostrare modalità e data del consenso che abbiano valore legale e fiscale.
Soluzione: se vuoi sostituire i documenti cartacei a valore legale e fiscale con documenti digitali, è necessario implementare sistemi e software di conservazione sostitutiva. Quest’ultimo è l’unico modo per rispettare la normativa italiana.
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Problema: le stampanti multifunzione di qualche anno fa non sono a norma GDPR per i protocolli di sicurezza, la crittografia dei dati e la mancanza di sistemi di autenticazione con PIN e badge o di limitazione selettiva degli accessi al personale.
Soluzione: verifica che per la tua stampante multifunzione esistano sul mercato dei “plugin”, ossia software dedicati alla tua stampante multifunzione che aggiungono le funzionalità necessarie ad essere conforme.
Ecco una serie di funzionalità che potresti voler aggiungere:
- autenticazione degli utenti via password, PIN o Badge e sistemi di accounting
- limitare in base al ruolo utente le funzionalità di utilizzo della stampante
- ospitare i dati in server o in cloud invece che sul dispositivo e rilasciarli solo dopo autenticazione
- bloccare l’accesso a porte del dispositivo multifunzione, ad esempio le porte USB
- restringere l’invio di dati solo a determinati IP o determinate porte dell’infrastruttura aziendale
Se la tua stampante è incompatibile con questi plugin, considera l’acquisto o il noleggio di una stampante che abbia già integrate le funzionalità principali che occorrono. Ad esempio, la nuova serie 3 di stampanti Kyocera integra i sistemi di sicurezza a norma GDPR direttamente nel dispositivo.
Articolo 30 – Registri delle attività di trattamento
Ogni titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento; b) le finalità del trattamento c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati.
Problema: quando i dati transitano nel dispositivo multifunzione per essere inviati a terzi, non si tiene traccia di chi utilizza il dispositivo, delle informazioni dei documenti in entrata e uscita e con chi sono state condivise.
Soluzione: esistono software di gestione documentale (uno di questi è Kyocera Net Manager) che permettono il controllo degli accessi al dispositivo attraverso i log di registrazione e utilizzo. Inoltre, i lavori di stampa vengono tracciati, contabilizzati e associati direttamente all’utente che li ha generati.
Passiamo adesso in rassegna le 3 norme da seguire per aumentare i livelli di sicurezza del trattamento e i casi di violazione dei dati personali (in gergo “data breach”). Le andremo ad accomunare poiché possono essere risolte con un gruppo di soluzioni.
Articolo 32 – Sicurezza del trattamento
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo
Il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Articolo 34 – Comunicazione di una violazione dei dati personali all’interessato
Non è richiesta la comunicazione all’interessato se il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
Problemi: le stampanti multifunzione più datate non dispongono di sistemi che garantiscano la crittografia dei dati. Inoltre, se i dati risiedono sul dispositivo, un attacco hacker o un malfunzionamento possono compromettere i dischi rigidi che li contengono.
Soluzioni: vengono aggiunti sistemi di sicurezza alla multifunzione più datata, come il Trusted Platform Module o TPM, il Secure Boot e il Run_time Integrity Check e sistemi di crittografia dei dati. Per evitare la perdita di dati dopo un malfunzionamento, potresti invece pensare a una soluzione documentale con archiviazione dei dati in cloud.
Nota bene: Le stampanti di recente fabbricazione adottano standard di sicurezza dei dati elevati e certificati. Ad esempio, nelle nuovi stampanti multifunzione della serie 3 di Kyocera questi moduli di sicurezza e crittografia sono integrati nel dispositivo.
Il futuro del GDPR
A distanza di poco più di un anno dall’entrata in vigore del regolamento GDPR, è cresciuto l’impegno dei fornitori di stampanti multifunzione nel proporre soluzioni software e gestionali che possano risolvere le difformità al GDPR di un prodotto datato.
È ancor più evidente come i fornitori di stampanti abbiano ripensato ai loro prodotti sin dalla progettazione, al fine di garantire una maggiore tutela dei dati in transito con sistemi di sicurezza integrati direttamente nei dispositivi.
Questi due fattori da soli hanno avviato il miglioramento del trattamento dei dati, a cui ha fatto seguito una costante opera di sensibilizzazione verso le aziende, le quali – a loro volta – hanno cominciato a riflettere sui propri processi.
L’adeguamento al GDPR ha attivato un circolo virtuoso di ottimizzazioni aziendali che vanno ben oltre la semplice paura di subire una sanzione. Il dibattito continua.