Il nuovo regolamento Europeo lascia ampi margini di azione a chi detiene la Responsabilità del trattamento. La protezione delle informazioni e dei loro trattamenti è basata su un approccio “Risk based“, concetto per il quale tutte le misure tecniche o organizzative di sicurezza devono essere adeguate al rischio riscontrato ed analizzato presso il titolare del trattamento.
È questo il nuovo approccio europeo: da un lato lascia ampio raggio di libertà nell’applicare le misure di sicurezza, dall’altro impone, ad ogni singola realtà aziendale, pubblica e privata, di qualsiasi dimensione, di prevedere un’attenta analisi del rischio, così da poter adeguare le scelte operative e gestionali a tutela del dato.
A comandare questo processo è il principio dell’ “accountability” secondo il quale il titolare del trattamento è tenuto a mettere in atto tutto ciò che ritiene necessario per poter garantire e dimostrare la conformità delle attività di trattamento con il regolamento stesso, compresa l’efficacia delle misure.
Cambia radicalmente da come siamo stati abituati fino ad ora: l’attuale normativa (D. lgs. 196/03).
Le misure “minime” di sicurezza del Codice sulla Privacy.
Il nostro decreto esplicita, in maniera dettagliata, nel suo più importante allegato (allegato B) , quali debbano essere le misure tecniche da adottare sia a livello informatico che non, per potersi ritenere a norma.
Nel dettaglio il legislatore ha previsto due tipologie di trattamento di dati:
• Trattamenti con l’ausilio di strumenti elettronici
• Trattamenti senza l’ausilio di strumenti elettronici
Nel caso di trattamento con l’ausilio di strumenti elettronici, il titolare deve provvedere, anche per tramite di una persona appositamente incaricata, ad approntare tutte quelle soluzioni informatiche idonee a ridurre al minimo il rischio di infezioni da programmi virus, intrusioni nella rete informatica da parte di soggetti non autorizzati o perdita dei dati.
Il codice della privacy elenca specifiche misure di sicurezza fra le quali:
• Adozione di credenziali di autenticazione: come recita il Disciplinare Tecnico in materia di misure minime di sicurezza, “il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti”.
Pertanto ogni soggetto incaricato al trattamento di dati deve avere un nome utente e una Password, quest’ultima impostata dallo stesso incaricato al primo utilizzo del PC col quale effettua il trattamento dei dati. La password è composta da almeno otto caratteri, non deve contenere riferimenti facilmente riconducibili all’incaricato e andrà modificata almeno ogni sei mesi, se trattasi di dati comuni, o ogni tre mesi in caso di trattamento di dati sensibili o giudiziari. La password deve essere conosciuta solo dall’incaricato. Il titolare o il responsabile del trattamento devono prevedere le modalità di accesso al sistema protetto da password in caso di prolungata assenza dell’incaricato.
• Protezione degli strumenti elettronici: gli elaboratori utilizzati per il trattamento dei dati devono essere protetti dai rischi informatici legati all’azione di virus o intrusioni non autorizzate nella rete. Gli antivirus dovranno essere aggiornati con cadenza almeno semestrale anche se il proliferare di virus informatici ne consiglierebbe l’aggiornamento con frequenza maggiore.
Anche i sistemi operativi e i programmi installati nei PC utilizzati per il trattamento dei dati devono essere aggiornati per prevenirne la vulnerabilità e correggerne i difetti. In genere tali aggiornamenti sono messi a disposizione periodicamente dalle stesse case produttrici dei software e sono solitamente scaricabili anche da internet. Gli aggiornamenti devono avere una cadenza almeno annuale; in caso di dati sensibili o giudiziari l’aggiornamento deve essere eseguito semestralmente.
• Creazione di copie di sicurezza: a garanzia della salvaguardia dei dati oggetto di trattamento, il nuovo codice prescrive l’adozione di idonee procedure per la creazione di copie di salvataggio. Tali copie dovranno essere ripristinate in caso di distruzione o danneggiamento dei dati in tempi compatibili con i diritti degli interessati e non superiori a sette giorni. Le copie di salvataggio, se non più utilizzate, sono distrutte o rese inutilizzabili in modo tale da rendere illeggibile il loro contenuto. Sempre in tempi compatibili con i diritti degli interessati devono essere riportati al normale stato d’uso gli strumenti elettronici danneggiati utilizzati per l’accesso alle banche dati.
• Cifratura di dati sanitari: gli organismi sanitari sono tenuti ad adottare tecniche informatiche di cifratura di dati per garantire la segretezza delle informazioni idonee a rivelare lo stato di salute o la vita sessuale degli interessati.
Tutte le soluzioni informatiche adottate devono essere periodicamente analizzate ed eventualmente aggiornate in base al progresso tecnologico o alle mutate esigenze dell’azienda.
Per chi invece effettua trattamenti di dati senza l’ausilio di strumenti elettronici è prevista l’adozione di una serie di misure minime di sicurezza volte anch’esse a garantire l’integrità dei dati e la loro sicurezza. Tali misure sono:
• Impartire istruzioni scritte agli incaricati per lo svolgimento delle operazioni di trattamento degli atti e dei documenti contenenti dati personali.
• Per gli incaricati, custodire gli atti e controllare i documenti contenenti dati sensibili o giudiziari
per tutta la durata del loro utilizzo fino alla restituzione, evitando che vi possano accedere persone prive di autorizzazione.
• Controllare gli accessi agli archivi contenenti dati sensibili o giudiziari. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. A tale scopo il Titolare può ricorrere alla nomina di personale appositamente preposto alla vigilanza dei locali.
Tutte le misure adottate devono essere anche in questo caso aggiornate periodicamente per adeguarle alle nuove esigenze organizzative o a un mutato livello di rischio.
Le misure “adeguate” di sicurezza nel nuovo Regolamento.
L’approccio del nuovo regolamento risulta essere molto più astratto e superficiale, e come anticipato, lascia libertà di adeguamento allo stesso titolare, che dovrà garantire un “adeguato” livello di sicurezza dei dati oggetto di trattamento, e dimostrare che lo stesso trattamento avvenga in conformità del regolamento europeo.
(articolo 24 GDPR – R.E. 2016/679)
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative
adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate
qualora necessario.
Nell’articolo successivo del nuovo regolamento, si introducono delle nuove tecniche di sicurezza che non troviamo nella nostra attuale normativa, e cioè pseudanimizzazione e minimizzazione. La pseudonimizzazione o semplicemente cifratura, consiste nell’utilizzare una chiave di cifratura per rendere illegibili i dati da parte di utenti malintenzionati.
Va fatta chiarezza: la necessità di cifratura dei dati deve essere commisurata all’analisi effettuata sul rischio reale del trattamento. la normativa europea sottolinea, soprattutto nei considerando (75-c.8), come debbano essere i progettisti di applicativi concernenti il trattamento dei dati, a mettere a disposizione, del titolare del trattamento, strumenti adeguati di cifratura. Ed è così che la scelta effettuata dagli stessi Titolari cadrà obbligatoriamente sui brand che utilizzano un occhio di riguardo nello sviluppo di procedure cifrate.
La richiesta normativa ha quindi un duplice scopo: da un lato contribuisce a sensibilizzare i titolari sull’argomento, dall’altro favorisce, nello sviluppo tecnologico, il miglioramento delle tecniche di sicurezza informatiche applicate nelle varie procedure.