Nell’ultimo periodo, a causa dell’emergenza sanitaria che siamo stati costretti ad affrontare, molte cose sono cambiate, in particolare nel mondo del lavoro; infatti, imprese e liberi professionisti hanno cercato di reinventarsi, individuando modi alternativi per proseguire la propria attività. Una strategia che ha trovato terreno fertile è sicuramente quella della vendita di prodotti on-line.
Le misure restrittive imposte per contenere i contagi, in particolare la limitazione degli sposta-menti ha, tra le altre cose, determinato un progressivo incremento del commercio elettronico; infatti gli utenti, non potendosi recare fisicamente presso i negozi o gli stabilimenti, visionano i prodotti sui siti dei rivenditori ed effettuano i loro acquisiti on-line. Se da un lato questa strategia può essere utile e remunerativa, comportando una riduzione dei costi che l’impresa deve sostenere, dall’altro deve essere compiuta nel rispetto della normativa: non solo quella specifica di settore, che riguarda le vendite effettuate al di fuori dei locali commerciali e che mira a garantire una tutela rafforzata nei confronti del consumatore, ma soprattutto l’attività di e-commerce deve essere effettuata nel rispetto del Regolamento sulla protezione dei dati personali (GDPR).
A questo proposito l’Agenzia Europea per la sicurezza informatica (ENISA), ha specificato quali sono le misure imprescindibili che devono essere messe in atto per potere avviare questo tipo di attività senza compromettere i diritti e le libertà degli utenti. Innanzitutto, è necessario che il sito web aziendale sia sicuro (si incentiva ad esempio l’utilizzo delle connessioni https, l’abilitazione dell’autenticazione a due fattori, i test sulla sicurezza del sito Web, la messa a disposizione di adeguato supporto ai clienti in difficoltà) per limitare al minimo il rischio di furti di dati, attacchi esterni o virus informatici. Questo perché l’obiettivo primario che si pone il GDPR è sempre quello di proteggere i dati personali degli utenti e le informazioni che li riguardano. Infatti, nel momento in cui si effettua un acquisto on-line il cliente è obbligato a rilasciare una se-rie di dati (es. generalità, dati di fatturazione, indirizzo, numero di telefono), la cui sottrazione e conseguente uso illecito causerebbe un pregiudizio al diretto interessato, oltre che compromette-re l’affidabilità e la reputazione dell’azienda. Si consiglia quindi di adottare policy sulla sicurezza e misure tecniche ed organizzative adeguate, in particolare sarebbe bene archiviare le password relative agli account degli utenti in modo sicuro (in particolare, si dovrà fare in modo che i dati sensibili non siano leggibili e che vengano applicate soluzioni sicure).
Ultimo aspetto, ma non per questo meno importante, è quello che riguarda la previsione di una idonea procedura di data Breach: nel caso in cui si verifichi una perdita o una sottrazione di dati è assolutamente necessario attivarsi rapidamente, monitorare e porre rimedio agli incidenti di sicurezza, applicare policy di risposta efficaci. Inoltre, nel caso in cui la perdita di dati sia consistente sarà necessario effettuare la notifica all’autorità Garante entro 72 ore dalla scoperta dell’evento dannoso, in modo tale che possa fornire indicazioni utili su come affrontare l’incidente e quali siano le misure più idonee per tutelare gli interessati.
Per informazioni contatta il Servizio ICT di CNA Forlì-Cesena
