venerdì, 29 marzo 2024

Articoli

Controllo accessi: adempimenti essenziali alla luce della normativa privacy

20/11/2019

di Federico Leone - Owner BIOMETHICS™  

Il titolo vuole essere molto eloquente: in questo articolo darò massimo rilievo a ciò che effettivamente interessa al lettore di Secsolution Magazine, ovvero “cosa devo fare” circa l’argomento in oggetto. Nella stragrande maggioranza dei casi il controllo accessi viene venduto unitamente all’assistenza post vendita/installazione. L’installatore, pertanto, dopo aver incassato la fiducia del cliente deve saper conservare la fiducia accordatagli. Pertanto va saputo che nella totalità dei casi le cautele per il trattamento dei dati vanno prese prima di compiere l’installazione e che una mancanza o un’inavvertenza nella preinstallazione possono far perdere il cliente ed avere ripercussioni rilevanti.

Fatte queste premesse, è fondamentale ricordare che la privacy non è stata inventata dal Regolamento Europeo n. 679/2016 (anche chiamato con l’acronimo “GDPR”): esisteva anche prima, solo che le sanzioni non erano importanti come quelle introdotte di recente.

Se l’installatore fa anche assistenza (come quasi sempre avviene), è fondamentale per la sua reputazione professionale compiere due valutazioni, spesso sottovalutate. La prima è la nomina ad amministratore del sistema (di quanto venduto al cliente). 

Nomina ad amministratore di sistema

Il provvedimento del Garante italiano impone la nomina dell’amministratore di un sistema (1). Il provvedimento è stato adottato nel 2008, emendato nel 2009 ed è di massima importanza per tutti coloro che, interni o esterni ad un’organizzazione, compiono controlli sui database e possono trattare e/o modificarne i contenuti di un database (spesso gli installatori hanno solo un generico incarico..). 

Data Protection Impact Assessment 

Altro adempimento di particolare importanza (questo sì introdotto espressamente dal GDPR e da alcune Opinion del WP 29 - ora European Data Protection Board -) è la c.d. Data Protection Impact Assessment. Si tratta di un documento in cui il cliente, prima di acquisire un sistema di controllo accessi, si pone il problema dei rischi per le persone fisiche derivanti dal trattamento compiuto tramite l’infrastruttura che intende acquistare. Questo adempimento è sicuramente “un problema del cliente” e pertanto diventa una vera e propria opportunità per l’installatore che è considerato dal cliente “colui che mi deve far stare tranquillo”. Pertanto, l’installatore, acquisita un po’ di formazione, può aumentare la propria reputazione verso il mercato sapendo rispondere a questa oggettiva esigenza, imposta dalla normativa ed aiutare di conseguenza la propria clientela. 

Porre la questione al cliente

Se il trattamento avviene su larga scala (ovvero riguarda un numero importante di persone fisiche, esempio qualche centinaia di unità) ed avviene con strumenti tecnologici (quale controllo accessi non è tecnologico?), allora probabilmente bisogna saper porre la questione al cliente, dandogli un servizio preventivo all’installazione e redigendo insieme a lui questo documento, che dovrà essere conservato dal cliente e che in caso di controlli del Garante o della Guardia di Finanza (ente preposto alle ispezioni sul trattamento dei dati personali), può dimostrare la propria “accountability”, ovvero la propria consapevolezza sul trattamento di dati personali, sul come difenderli e come farne un uso fedele alle finalità dichiarate.

(1) Per maggior informazioni è possibile chiedere ad info@biomethics.com o alla redazione di Secsolution Magazine.


maggiori informazioni su:
www.biomethics.com



Tutti gli articoli