Temi

Shape 5 Live Search

logo

Il regolamento europeo dedica alla problematica delle misure di sicurezza vari articoli, anche in considerazione dell'accresciuta sensibilità alla pericolosità delle varie forme di trattamento dei dati personali. 

 

Principio di sicurezza

L'art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere "trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)". E' importante notare che è l'intero trattamento a dover essere sicuro, non solo i dati come prodotto finale. Ciò comporta anche che le valutazioni di sicurezza vanno sviluppate per ogni tipo di trattamento. 

L'art. 32, invece, fissa alcuni principi fondamentali. In particolare le misure di sicurezza devono essere approntate "tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche". 
Le misure di sicurezza, quindi, devono essere adeguate, imponendo non un'obbligazione di risultato, bensì un'obbligazione di mezzi, in modo che le misure siano ragionevolmente soddisfacenti alla luce delle conoscenze e delle prassi. 

Le misure di sicurezza si dividono in due categorie: misure organizzative e misure tecniche, che, sempre secondo l'art. 32, comprendono, tra le altre: 
misura tecnica -> a) la pseudonimizzazione e la cifratura dei dati personali; 

requisiti di sicurezza -> b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; 
                                     c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; 
                                     d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 

La sicurezza, infatti, non riguarda solo l'aspetto informatico del trattamento, ma anche l'aspetto organizzativo a coprire eventi quali la sottrazione o la perdita di documenti. Le misure di sicurezza, quindi devono garantire che: 
- i dati possono essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo (e che tali persone agiscono solo nell'ambito dell'autorità che gli viene concessa); 
- i dati trattati sono accurati e completi in relazione al motivo per cui lo stai elaborando; 
- i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate.

Il principio di sicurezza, quindi, prevede l'obbligo di riservatezza, integrità e disponibilità dei dati

 

Analisi del rischio

Il regolamento europeo ha un approccio basato sulla valutazione del rischio piuttosto che sulla protezione dell'utente. Per cui occorre una corretta analisi dei rischio del trattamento dei dati personali per poter implementare le misure di sicurezza adeguate. 
Lo stesso art. 32, par. 2, elenca alcuni tipi di rischio: 
- distruzione o perdita di dati;
- modifica;
- divulgazione non autorizzata;
- accesso, in modo accidentale o illegale, non autorizzato. 

Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso. Un esempio classico riguarda la dismissione delle stampanti con memoria, senza aver provveduto a cancellare la memoria, e quindi con l'astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati. 

 

Codici di condotta e certificazioni

Sempre in base all'art. 32, "l’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo". 

Cioè gli organismi rappresentanti di categorie o le associazioni di aziende possono elaborare dei codici di condotta che aiutino i titolari ad applicare correttamente il regolamento europeo. In tal modo, quindi, gli oneri per le imprese vengono semplificati. Il titolare, infatti, con risparmio di spesa, si limiterà ad adottare il codice di condotta senza doverlo elaborare. I codici di condotta sono, quindi, delle misure di garanzia, che vengono sottoposti all'approvazione delle autorità di controllo nazionali, incaricate di vigilare sull'attuazione dei medesimi codici. Ovviamente il titolare, e il responsabile se nominato, dovranno tenersi sempre aggiornati sulla disponibilità e l'evoluzione dei codici di condotta. 

Analogamente, l'adozione di processi di trattamento certificati può essere utilizzato a dimostrazione del concreto impegno da parte del titolare nell'attuazione del regolamento. 

 

Misure di sicurezza fisiche

Per approntare delle misure di sicurezza è necessario valutare fattori quali: 
- la qualità delle porte e delle serrature e la protezione dei locali con allarmi, illuminazione di sicurezza o CCTV; 
- l'accesso ai tuoi locali e il controllo dei visitatori; 
- smaltimento dei rifiuti cartacei o elettronici; 
- la sicurezza delle apparecchiature informatiche, in particolare i dispositivi mobili (è utile tenere un registro con l'indicazione delle risorse informatiche utilizzate per trattare dati, la loro ubicazione fisica e i permessi di accesso alle stesse). 

 

Misure di sicurezza informatiche

Fattori da considerare per la sicurezza informatica: 
- sicurezza della rete e dei sistemi di informazione (sistemi di autenticazione); 
- sicurezza dei dati conservati nel sistema (controlli di accesso); 
- sicurezza online (sito web o applicazioni online);
- sicurezza dei dispositivi, in particolare quelli personali se usati per motivi aziendali.