In vista dell’entrata in vigore del Gdpr il prossimo 25 maggio esaminiamo brevemente quali sono le misure da prendere per garantire la sicurezza dei dati degli utenti. Con la normativa europea, la sicurezza delle informazioni personali non si limita più a un elenco di strumenti tecnici di salvaguardia, come avvenuto per le precedenti misure minime di sicurezza, ma si eleva a principio di legittimità alla pari dell’accountability o della legittimità dei trattamenti. Nella pratica, questo vuole dire che la singola misura di sicurezza – pur continuando a svolgere la funzione di protezione dell’informazione e di tutela di diritti e libertà dell’interessato – si inquadra in una struttura coordinata, caposaldo del generale sistema di conformità aziendale per la protezione dei dati personali. Di conseguenza, il sistema di sicurezza delle informazioni viene a svolgere una funzione plurima nel quadro generale del Gdpr. Esso serve a:
– prevenire casi di violazioni di dati minimizzare gli effetti nocivi in ipotesi di data breach;
– abbatte il rischio laddove – in base alla valutazione d’impatto (Dpia) – questo si presuma elevato;
– tutela il flusso di dati nella filiera con le terze parti e nella trasmissione degli stessi all’estero;
– contribuisce a dimostrare la conformità dell’azienda alla norma.
Spetta all’impresa, sia che essa agisca come titolare che come responsabile del trattamento, di selezionare le misure ritenute adeguate – per qualità e tipologia – al contesto. Il legislatore prende in considerazione misure di natura sia tecnica sia organizzativa:
– le prime, sono i tipici strumenti della protezione informatica (negli ambiti della rete, delle postazioni, delle applicazioni It) o fisica (nell’ambito della logistica);
– le seconde riguardano le politiche contenenti le regole comportamentali di dipendenti e collaboratori nella gestione dei dati, le procedure standard da seguire nelle specifiche circostanze, i ruoli assegnati al personale e le istruzioni impartite, i vincoli contrattuali sottoscritti con le terze parti.
Il Gdpr estende l’obbligo di realizzazione dell’«adeguato» sistema di sicurezza delle informazioni personali anche a quei fornitori che trattano dati personali per conto di clienti, peraltro imponendo a entrambe le parti il compito di ribadire questo vincolo anche per via contrattuale: una modalità che offre garanzie di tenuta riguardo al flusso informativo della supply chain, responsabilizzando i vari soggetti che vi prendono parte, committente, appaltatore e sub-appaltatori. Con riferimento alle singole misure, il Regolamento non ne prevede di tassative ma certo ne mette in risalto due per la loro intrinseca duttilità: la pseudonimizzazione e la cifratura. Entrambe sono poco note e suscettibili di confusione con la ben diversa misura dell’anonimizzazione. Come procedere, allora, nel processo di attuazione delle misure? In primo luogo occorre mappare i “trattamenti”, cioè l’entità desunta dalla correlazione tra dati utilizzati, soggetti di riferimento e finalità d’uso: se il registro dei trattamenti prescritto dall’articolo 30 del Gdpr sarà sufficientemente dettagliato, si potrà partire da lì.
Quindi, occorrerà effettuare una valutazione del rischio associato a ciascun trattamento al fine di individuare tipologia del rischio e suo livello d’incidenza; infine, si renderà necessario identificare quali misure si ritengono appropriate «per garantire un livello di sicurezza adeguato al rischio» applicando un corretto bilanciamento tra strumenti di tutela di natura tecnica e misure organizzative. La misura di sicurezza appropriata riguardo ad uno specifico trattamento ed tenuto conto delle sue caratteristiche, sarà quella che sarebbe ragionevole adottare, in termini di costi e di sviluppo tecnico, per fare fronte al rischio individuato.
– prevenire casi di violazioni di dati minimizzare gli effetti nocivi in ipotesi di data breach;
– abbatte il rischio laddove – in base alla valutazione d’impatto (Dpia) – questo si presuma elevato;
– tutela il flusso di dati nella filiera con le terze parti e nella trasmissione degli stessi all’estero;
– contribuisce a dimostrare la conformità dell’azienda alla norma.
Spetta all’impresa, sia che essa agisca come titolare che come responsabile del trattamento, di selezionare le misure ritenute adeguate – per qualità e tipologia – al contesto. Il legislatore prende in considerazione misure di natura sia tecnica sia organizzativa:
– le prime, sono i tipici strumenti della protezione informatica (negli ambiti della rete, delle postazioni, delle applicazioni It) o fisica (nell’ambito della logistica);
– le seconde riguardano le politiche contenenti le regole comportamentali di dipendenti e collaboratori nella gestione dei dati, le procedure standard da seguire nelle specifiche circostanze, i ruoli assegnati al personale e le istruzioni impartite, i vincoli contrattuali sottoscritti con le terze parti.
Il Gdpr estende l’obbligo di realizzazione dell’«adeguato» sistema di sicurezza delle informazioni personali anche a quei fornitori che trattano dati personali per conto di clienti, peraltro imponendo a entrambe le parti il compito di ribadire questo vincolo anche per via contrattuale: una modalità che offre garanzie di tenuta riguardo al flusso informativo della supply chain, responsabilizzando i vari soggetti che vi prendono parte, committente, appaltatore e sub-appaltatori. Con riferimento alle singole misure, il Regolamento non ne prevede di tassative ma certo ne mette in risalto due per la loro intrinseca duttilità: la pseudonimizzazione e la cifratura. Entrambe sono poco note e suscettibili di confusione con la ben diversa misura dell’anonimizzazione. Come procedere, allora, nel processo di attuazione delle misure? In primo luogo occorre mappare i “trattamenti”, cioè l’entità desunta dalla correlazione tra dati utilizzati, soggetti di riferimento e finalità d’uso: se il registro dei trattamenti prescritto dall’articolo 30 del Gdpr sarà sufficientemente dettagliato, si potrà partire da lì.
Quindi, occorrerà effettuare una valutazione del rischio associato a ciascun trattamento al fine di individuare tipologia del rischio e suo livello d’incidenza; infine, si renderà necessario identificare quali misure si ritengono appropriate «per garantire un livello di sicurezza adeguato al rischio» applicando un corretto bilanciamento tra strumenti di tutela di natura tecnica e misure organizzative. La misura di sicurezza appropriata riguardo ad uno specifico trattamento ed tenuto conto delle sue caratteristiche, sarà quella che sarebbe ragionevole adottare, in termini di costi e di sviluppo tecnico, per fare fronte al rischio individuato.