Protezione Dati: come gestire le informazioni delle Stampanti

Spesso sottovalutiamo il quantitativo di informazioni e dati personali che passano attraverso le stampanti dei nostri studi.

Il GDPR, nell’ottica del principio di “responsabilizzazione” previsto dall’art. 5, impone ai titolari dello studio di prestare sempre maggiore attenzione a tutte le possibili criticità che incombono sui dati ed ogni qualvolta si manda in stampa un documento vengono elaborate e spesso archiviate moltissime informazioni e dati personali riservati.

Le stampanti multifunzione di ultima generazione oltre che la stampa, consentono ad esempio  la digitalizzazione dei documenti e l’invio tramite e mail, in alcuni casi sono dotate di hard disk simili a quelli dei PC, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati e, naturalmente, anche stampati.

Data la premessa le stampanti dovrebbero rientrare nei sistemi informatici aziendali da proteggere adeguatamente ma, spesso, sono generalmente oggetto di scarsa attenzione nell’analisi dei rischi, pur rappresentando uno dei punti più vulnerabili. Molti studi professionali, infatti,  non sono consapevoli che i dati personali vengono trasferiti in modo visibile, e non cifrato, sulla rete  per essere stampati,  oppure vengono salvati in chiaro sui server o, addirittura, sugli hard disk delle stampanti,  senza contare, poi, che anche un documento dimenticato nel cassetto di uscita di una stampante costituisce un caso di dati non protetti in modo adeguato.

I fattori di rischio che incombono sulle stampanti non protette possono essere  così individuati:

• le stampanti si trovano all’esterno del firewall di rete;
• non vengono installati gli aggiornamenti per la protezione, che spesso richiedono l’apporto manuale;
• la protezione della stampante non viene attivata per banale noncuranza o sottovalutazione del rischio;
• i dispositivi forniti da alcuni produttori non offrono impostazioni di sicurezza appropriate.

Come possiamo, quindi, tutelare i dati personali in possesso dello studio da indebite diffusioni (interne e/o esterne) tramite le nostre attuali stampanti?

Sotto il profilo tecnico, per garantire un’adeguata protezione si dovrebbero implementare le misure di sicurezza come segue:

• le stampanti devono sempre trovarsi dietro il firewall aziendale;
• i dispositivi non aziendali non devono essere autorizzati, in linea generale, alla connessione per la stampa;
• si dovrebbe pianificare la revisione e l’implementazione degli aggiornamenti del firmware delle stampanti;
• si dovrebbero riesaminare periodicamente le opzioni di configurazione della protezione, sia in fase di acquisto sia in fase di manutenzione della periferica, implementando le protezioni ogni volta quando possibile.

Sotto il profilo organizzativo, dovranno essere tenute in attenta considerazione soprattutto le minacce interne sempre possibili a causa dell’uso distratto e/o inconsapevole che gli utenti, di norma, fanno di queste macchine.

Un documento stampato senza accorgimenti di sicurezza, magari dimenticato per lungo tempo nel vassoio di una stampante accessibile a tutti, può divenire una seria ipotesi di perdita di dati ad alto rischio, soprattutto se il documento contiene informazioni confidenziali e/o particolari.

Per minimizzare il rischio connesso a queste situazioni, è opportuno  adottare un regolamento interno che specifichi in modo dettagliato quali siano le corrette modalità di utilizzo delle stampanti  come ad esempio stabilisca cosa fare dei documenti abbandonati nelle stampanti a fine giornata.

Sarà, comunque, indispensabile porre in atto una serie di misure di protezione dei dati contenuti nei documenti stampati, prevedendo quantomeno che:

• la stampante identifichi in modo univoco l’utente aziendale che ha proceduto ad una determinata stampa;
• il sistema tenga traccia, per un tempo ragionevole ma non eccessivo, di tutti i lavori di stampa degli utenti (chi ha stampato, nome del documento, pc utilizzato, stampante di output, data e timestamp della stampa, etc.), elevando, in questo modo, anche la responsabilità dell’individuo che immette l’input di stampa;
• si provveda, sia durante il periodo di utilizzo sia all’atto della dismissione della macchina, a fare dei reset della memoria della stampante, ripulendola dai vecchi contenuti.

Solo adottando queste basilari misure di sicurezza di natura tecnica ed organizzativa si potrà ambire a rispettare le prescrizioni del GDPR.