Gestione dei database: cosa dice la normativa

Ormai quasi tutte le aziende hanno a disposizione un database all'interno del quale sono contenute le informazioni dei clienti, con diversi dati sensibili che richiedono una particolare attenzione nella loro gestione. In questo ambito, un interessante contributo riguarda un'attività di database building, come quella di Ediscom, azienda da sempre impegnata nella realizzazione di idonee pratiche di Digital Marketing e che negli anni è diventata un punto di riferimento.

Scopriamo ora insieme come rispettare gli obblighi imposti dalla normativa in tema di gestione dei database.

Come essere sicuri di essere a norma

Attualmente la normativa europea di riferimento sulla gestione dei dati privacy è la GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati) in vigore dal 2018 e che ha richiesto un periodo di transizione nella nostra nazione affinchè le aziende potessero mettersi in regola con le disposizioni previste.

Proprio per questo motivo, è fondamentale allinearsi rapidamente a quanto richiesto anche per evitare che alcune ispezioni a sorpresa da parte dell'Autorità Garante possano tramutarsi in multe salate.

Partiamo innanzitutto dai database di clienti che rappresentano un punto molto importante per quanto riguarda i dati personali delle persone, in quanto in essi sono proprio contenute queste informazioni.

Affinché sia rispettata la normativa in vigore, bisogna innanzitutto adeguare il proprio sistema informativo e il sistema di gestione della clientela per evitare che questi possano essere vittima di un qualsiasi tipo di attacco informatico. Il sistema deve essere quindi adeguato in modo da evitare il furto o in ogni caso l'accesso a questi dati personali.

Quale deve essere il livello di sicurezza

Per quanto riguarda questo aspetto, la normativa è alquanto vaga in quanto non specifica il livello di sicurezza atteso ma invece indica che vengano prese le misure tecniche ed organizzative appropriate, nonché provvedimenti precisi quali possono essere ad esempio la cifratura dei dati o utilizzare degli pseudonimi.
Volendo sintetizzare, avremo le seguenti misure per aumentare il livello di sicurezza:

  • cifratura dei dischi che contengono i dati, consistente non solo nell'immissione di una password per l'accesso ma anche nella cifratura del dato stesso;
  • cifratura dei vari file, in modo da rendere difficile la lettura se non si possiede la relativa chiave di accesso;
  • cifratura di alcune parti del database, come ad esempio alcune colonne con i dati maggiormente sensibili, delle comunicazioni effettuate via web o dei backup del database effettuato periodicamente;
  • inserimento di pseudonimi
  • controllo del numero di accessi

Per quanto riguarda la normativa europea, bisogna inoltre specificare che esiste l'obbligo, qualora si accerti una violazione dei dati sensibili o la perdita degli stessi, di comunicare prontamente la situazione al garante e agli interessati. Qualora non si adempia a questo obbligo sono previste delle pene abbastanza pesanti qualora non sia riesca a dimostrare che siano state messe in atto tutte le misure per evitare la violazione dei dati.