GDPR: Le Criticità Per La Sicurezza Dei Dati Nelle Stampanti
Proteggere le stampanti ad oggi diventa una parte fondamentale dell’innalzamento dei livelli di sicurezza di un’azienda in quanto le stesse conservano moltissimi dati:
- Alcune includono funzionalità per la scansione e la stampa da remoto;
- La maggior parte è dotata di hard disk simili a quelli dei PC, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati, inviati tramite email e, naturalmente, anche stampati.
La criticità a riguardo è che molte aziende non sono consapevoli che i dati personali vengono trasferiti in modo visibile, e non cifrato, sulla rete, per essere stampati oppure vengono salvati in chiaro sui server o, addirittura, sui dischi delle stampanti.
Molto spesso però non vengono definiti workflow alternativi che rappresenterebbero uno strumento fondamentale per evitare che le informazioni possano finire nelle mani sbagliate. Senza workflow alternativi, ogni dato personale può, potenzialmente, essere inviato a stampanti non sicure.
Il GDPR all’art. 25 prevede che “il titolare del trattamento (debba) mette(re) in atto misure tecniche ed organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”
Questo fa presupporre, sulla base del principio di “privacy by default” che nasce dall’idea che le misure di sicurezza prescelte dal titolare del trattamento devono essere predisposte in via preventiva per garantire la selezione dei soli dati realmente necessari da trattare per il conseguimento delle finalità stabilite, l’imposizione a tutti i produttori, di pensare e creare stampanti “più virtuose” di quelle attuali, già nella fase di progettazione.
Dovranno di conseguenza garantire che le loro stampanti, per impostazione definita, siano in grado di applicare in modo rigoroso il principio di minimizzazione previsto dal GDPR.
Nel frattempo il GDPR impone alle imprese l’adozione di misure tecniche ed organizzative idonee a mitigare il rischio, soprattutto in presenza di stampanti di uso quotidiano non ancora progettate secondo i predetti canoni di privacy by default.
È opportuno quindi che l’azienda adotti un’adeguata policy che specifichi in modo dettagliato quali siano le corrette modalità di utilizzo delle proprie stampanti.
Le misure tecniche e organizzative adottabili sono:
- le stampanti devono sempre trovarsi dietro il firewall aziendale;
- i dispositivi non aziendali non devono essere autorizzati, in linea generale, alla connessione per la stampa (a meno che il responsabile IT abbia autorizzato la stampa dopo aver verificato l’assenza di rischi);
- pianificare la revisione e l’implementazione degli aggiornamenti del firmware delle stampanti;
- le opzioni di configurazione della protezione contro gli attacchi informatici offerte dal dispositivo di endpoint devono essere attentamente riesaminate nel corso del tempo e, cioè, sia in fase di acquisto sia in fase di manutenzione periodica della periferica;
Inoltre il titolare del trattamento dovrà stabilire una serie di regole interne relative all’utilizzo delle stampanti fuori dall’orario di lavoro nonché quando, come e cosa si può stampare.