EVENTI CLIMATICI ESTREMI E SICUREZZA DEI DATI PERSONALI: MISURE TECNICHE E ORGANIZZATIVE AI SENSI DEL GDPR

Le elevate temperature non rappresentano esclusivamente un fattore di rischio per la salute dei lavoratori, ma possono incidere direttamente sulla disponibilità dei sistemi informatici e sulla continuità dei trattamenti di dati personali. Interruzioni dell'alimentazione elettrica, malfunzionamenti degli impianti di climatizzazione e surriscaldamento delle apparecchiature possono compromettere il regolare funzionamento dell'infrastruttura informatica aziendale, con conseguente indisponibilità dei dati e dei servizi.

 

Il Regolamento (UE) 2016/679 impone al Titolare del trattamento di adottare misure tecniche e organizzative adeguate a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.

Le ondate di calore costituiscono uno scenario di rischio che deve essere preso in considerazione nella pianificazione di tali misure.

In primo luogo, è necessario verificare che le procedure di backup siano realmente efficaci.

Le copie di sicurezza devono essere eseguite con la frequenza prevista dall'organizzazione, conservate separatamente dai sistemi di produzione e sottoposte periodicamente a prove di ripristino. Un backup di cui non sia stata verificata la possibilità di recupero non può essere considerato una misura di sicurezza sufficiente.

Occorre inoltre verificare l'idoneità dei locali che ospitano server, NAS, firewall, switch e apparati di rete. Le apparecchiature dovrebbero essere installate in ambienti adeguatamente climatizzati, dotati di sufficiente ricambio d'aria e costantemente monitorati sotto il profilo della temperatura.

In presenza di locali tecnici è opportuno predisporre sistemi di monitoraggio con soglie di allarme che segnalino tempestivamente eventuali anomalie termiche prima che si verifichi il blocco delle apparecchiature. In via generale è raccomandabile mantenere la temperatura dei locali server entro l'intervallo indicato dai produttori delle apparecchiature, evitando sbalzi termici e livelli di umidità non controllati.

I sistemi essenziali per l'attività aziendale dovrebbero inoltre essere protetti mediante gruppi di continuità (UPS), correttamente dimensionati e periodicamente sottoposti a manutenzione e prova di funzionamento, così da prevenire spegnimenti improvvisi conseguenti a blackout o microinterruzioni della rete elettrica.

Sotto il profilo organizzativo è opportuno individuare preventivamente le figure responsabili della gestione delle emergenze informatiche.

L'organizzazione dovrebbe disporre di un elenco aggiornato dei referenti interni ed esterni da contattare in caso di guasto, comprendente a titolo esemplificativo: il responsabile IT, l'assistenza hardware, il gestore del servizio cloud ed il manutentore degli impianti di climatizzazione. Tali informazioni dovrebbero essere facilmente accessibili anche nell'ipotesi di indisponibilità della rete aziendale.

 

Particolare attenzione deve essere riservata anche agli ambienti ordinari di lavoro: postazioni informatiche collocate in locali con temperature elevate possono determinare il surriscaldamento dei dispositivi, riducendone l'affidabilità e la vita utile.

È pertanto consigliabile:

 

- Garantire condizioni microclimatiche adeguate negli uffici;

- Evitare l'esposizione diretta delle apparecchiature ai raggi solari;

- Mantenere libere le aperture di ventilazione dei dispositivi;

- Programmare verifiche periodiche sul corretto funzionamento dei sistemi di raffreddamento.

 

Le elevate temperature possono infine aumentare il rischio di errore umano. La riduzione della concentrazione e l'affaticamento possono favorire comportamenti non conformi alle procedure aziendali, quali l'invio di dati personali ai destinatari errati, l'apertura di allegati malevoli o il mancato riconoscimento di tentativi di phishing.

Per tale motivo è opportuno richiamare periodicamente il personale alle corrette procedure di sicurezza informatica e alle modalità di gestione dei dati personali previste dall'organizzazione.

 

L'adozione di tali misure consente al Titolare del trattamento di rafforzare la resilienza dell'organizzazione e di dimostrare l'effettiva applicazione delle misure tecniche ed organizzative richieste dall'art. 32 del GDPR, anche nei confronti di eventi fisici quali le ondate di calore e le conseguenti interruzioni dei servizi.