Nextcloud e il GDPR nella pratica

Scopri di più >
La nuova normativa in materia di protezione dei dati entrerà in vigore il prossimo 25 Maggio e coinvolgerà, a diversi livelli, tutti gli operatori del settore it e non. Chi ha un sito di e-commerce non potrà esimersi dal prendere in seria considerazione l’appoggio di un consulente, ma anche chi dovrà gestire la semplice anagrafica dei clienti e fornitori non potrà fare a meno di conoscere i limiti e le agevolazione che il nuovo regolamento propone in alternativa o ad integrazione di quelli vigenti.
Nello specifico i documenti dovranno essere oggetto di particolare attenzione essendo questi contenitori di ogni genere di dato, da quelli personali a quelli sensibili. Bisogna fare distinzione sul tipo di dato che si sta trattando perché il gdpr impone delle restrizioni più forti sui dati sensibili quali:
  • origine razziale o etnica
  • opinioni politiche
  • convinzioni religiose o filosofiche
  • salute
  • vita e orientamento sessuale
Si veda per esempio l’Articolo 9 in cui viene fatto espresso divieto di trattare questi dati salvo specifici casi elencati dettagliatamente.
In questo scenario si inserisce, per esempio, il principio di minimizzazione richiamato nell’Articolo 25 al paragrafo 1 come possibile mezzo di protezione dei dati. Il principio di minimizzazione non è nuovo agli operatori del settore it e può essere semplificato dicendo che ogni operatore deve poter accedere al set minimo di dati necessario per svolgere un determinato compito. Quindi se lavoro nel reparto tecnico probabilmente non avrò necessità di conoscere gli aspetti finanziari del cliente, mentre se lavoro nel reparto commerciale probabilmente non avrò necessità di conoscere tutti i documenti di cui dispone l’ufficio amministrativo (per esempio le buste paga dei dipendenti). Attenzione a quest’ultimo punto perché centra perfettamente il nocciolo della questione: i dati di cui deve disporre un utente non sempre possono essere catalogati in modo inequivocabile e spesso devono essere condivisi con utenti di altre aree che possono avere competenze simili o sovrapposte.
Nextcloud ha già gli strumenti per risolvere questo nodo e gestire in maniera totalmente automatizzata e sicura la condivisione dei file senza dover richiedere modifiche alla struttura esistente.
I file da condividere non possono essere decisi una volta per tutte ma gli operatori dovranno valutare cosa è lecito condividere con i colleghi (o anche con i collaboratori esterni!) in base alle direttive recepite dal Responsabile della Protezione Dati (RPD ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer). Infatti l’Articolo 39 descrive i compiti del DPO ponendo particolare enfasi sul ruolo che egli ha riguardo la sensibilizzazione e formazione del personale.
A fronte di questo il personale riceve le indicazioni necessarie per capire cosa si può condividere e con chi e in alcuni casi per quanto tempo.
La normativa infatti richiede al Responsabile del Trattamento (Articolo 4 paragrafo 8) di tenere aggiornato il Registro dei Trattamenti svolti (Articolo 30 paragrafo 2) nel quale si chiede, ove possibile, di definire un termine per la conservazione dei dati.
Nextcloud prevede la possibilità di impostare una data di scadenza al momento della condivisione dei dati in modo da adempiere all’indicazione appena descritta.
Un altro punto importante legato in qualche modo alla raccolta dei dati lo si trova all’Articolo 21 ed è la profilazione degli utenti, intesa come possibilità di stabilire delle regolarità nel modo abituale di operare o ricavare delle informazioni che possono rivelare in tutto o in parte i dati sensibili sopra citati. Nextcloud nativamente non fornisce agli amministratori nessuno strumento di profilazione degli utenti limitando i log ai soli eventi riguardanti il normale funzionamento del sistema con specifiche finalità tecniche e di miglioramento del prodotto.
Com’è noto Nextcloud permette di installare applicazioni di terze parti e di implementare le proprie applicazioni fornendo tutti gli strumenti necessari per adempiere alla nuova normativa.
Pensiamo solo alle novità introdotte nella versione 13 in termini di sicurezza e protezione dei dati. Nextcloud Talk per esempio realizza una chat privata con crittografia end-to-end. E quando parlo di privata intendo veramente privata perché tutte le comunicazioni passano dal server dell’azienda.
Questa ulteriore garanzia ci mette al riparo da eventuali “malintesi” dovuti a fornitori di servizi che dichiarano di avere sede in Europa sottintendendo, più o meno in mala fede, di trattare i dati nel territorio europeo quando invece la realtà è un’altra. Infatti la normativa vigente vieta l’esportazione dei dati sensibili fuori dal territorio europeo scaricando sul Titolare del Trattamento (Articolo 4 comma7) eventuali responsabilità dovute ad inadempienze di terzi.
Naturalmente per essere pienamente conformi al gdpr bisogna avere una struttura organizzativa in grado di coprire gli aspetti legali, operativi e di controllo richiesti dalla normativa e questo può essere fatto solo da personale dipendente e dai consulenti. Nella scelta dei software da utilizzare Nextcloud si propone come piattaforma completa, conforme e pronta a gestire dati, app e comunicazioni interne in modo sicuro (veramente sicuro), ovunque voi siate, su qualunque dispositivo.
14 Aprile 2018
Scopri di più >

Questo sito utilizza cookies tecnici al fine di migliorare la tua esperienza di navigazione   HO CAPITO

Maggiori informazioni sono disponibili   QUI