Il regolamento europeo dedica alla
problematica delle misure di sicurezza vari articoli, anche in
considerazione dell'accresciuta sensibilità alla pericolosità delle varie forme
di trattamento dei dati personali.
Principio di sicurezza
L'art. 5, par. 1,
lett. f), stabilisce che i dati personali devono essere "trattati in maniera da garantire
un'adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure tecniche e organizzative adeguate, da trattamenti
non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno
accidentali («integrità e riservatezza»)". E'
importante notare che è l'intero trattamento a dover essere sicuro,
non solo i dati come prodotto finale. Ciò comporta anche che le valutazioni di
sicurezza vanno sviluppate per ogni tipo di trattamento.
L'art. 32, invece,
fissa alcuni principi fondamentali. In particolare le misure di sicurezza
devono essere approntate "tenendo conto dello stato dell'arte e dei
costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle
finalità del trattamento, come anche del rischio di varia probabilità e gravità
per i diritti e le libertà delle persone fisiche".
Le misure di sicurezza, quindi, devono essere adeguate, imponendo non
un'obbligazione di risultato, bensì un'obbligazione di mezzi, in modo che
le misure siano ragionevolmente soddisfacenti alla luce delle conoscenze e
delle prassi.
Le misure di
sicurezza si dividono in due categorie: misure organizzative e misure
tecniche, che, sempre secondo l'art. 32, comprendono, tra le altre:
misura tecnica -> a) la pseudonimizzazione e la cifratura dei
dati personali;requisiti di sicurezza -> b) la capacità di assicurare su
base permanente la riservatezza, l'integrità, la disponibilità e la resilienza
dei sistemi e dei servizi di trattamento;
c) la capacità
di ripristinare tempestivamente la disponibilità e l'accesso
dei dati personali in caso di incidente fisico o tecnico;
d) una procedura
per testare, verificare e valutare regolarmente l'efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
La sicurezza,
infatti, non riguarda solo l'aspetto informatico del trattamento, ma anche
l'aspetto organizzativo a coprire eventi quali la sottrazione o la perdita di
documenti. Le misure di sicurezza, quindi devono garantire che:
- i dati possono essere consultati, modificati, divulgati o cancellati solo
dalle persone autorizzate a farlo (e che tali persone agiscono solo nell'ambito dell'autorità
che gli viene concessa);
- i dati trattati sono accurati e completi in relazione al motivo per cui
lo stai elaborando;
- i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita,
modifica o distruzione accidentale, si deve essere in grado di recuperarli e
prevenire danni alle persone interessate, predisponendo un opportuno piano di
continuità operativa.
Il principio di
sicurezza, quindi, prevede l'obbligo di riservatezza, integrità e
disponibilità dei dati.
Analisi del rischio
Il regolamento
europeo ha un approccio basato sulla valutazione del rischio piuttosto che
sulla protezione dell'utente. Per cui occorre una corretta analisi dei rischio
del trattamento dei dati personali per poter implementare le misure di
sicurezza adeguate.
Lo stesso art. 32, par. 2, elenca alcuni tipi di rischio:
- distruzione o perdita di dati;
- modifica;
- divulgazione non autorizzata;
- accesso, in modo accidentale o illegale, non autorizzato.
Per ogni rischio
occorre individuare la probabilità dell'evento, nonché la gravità dello
stesso, in modo da stabilire le misure di sicurezza adeguate per mitigare
il rischio. Un esempio classico riguarda la dismissione delle stampanti con
memoria, senza aver provveduto a cancellare la memoria, e quindi con l'astratta
possibilità che un terzo possa acquisire le immagini ottiche degli ultimi
documenti stampati o scansionati.
Codici di condotta e certificazioni
Sempre in base
all'art. 32, "l'adesione a un codice di condotta approvato di cui
all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come
elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del
presente articolo".
Cioè gli organismi
rappresentanti di categorie o le associazioni di aziende possono elaborare
dei codici di condotta che aiutino i titolari ad applicare
correttamente il regolamento europeo. In tal modo, quindi, gli oneri per le
imprese vengono semplificati. Il titolare, infatti, con risparmio di spesa, si
limiterà ad adottare il codice di condotta senza doverlo elaborare. I codici di
condotta sono, quindi, delle misure di garanzia, che vengono sottoposti
all'approvazione delle autorità di controllo nazionali, incaricate di vigilare sull'attuazione dei medesimi
codici. Ovviamente il titolare, e il responsabile se nominato, dovranno tenersi
sempre aggiornati sulla disponibilità e l'evoluzione dei codici di
condotta.
Analogamente,
l'adozione di processi di trattamento certificati può essere utilizzato a dimostrazione del concreto impegno da parte
del titolare nell'attuazione del regolamento.
Misure di sicurezza fisiche
Per approntare delle
misure di sicurezza è necessario valutare fattori quali:
- la qualità delle porte e delle serrature e la protezione dei locali con
allarmi, illuminazione di sicurezza o CCTV se presenti (telecamere);
- l'accesso ai tuoi locali e il controllo dei visitatori;
- il corretto smaltimento dei rifiuti cartacei o elettronici;
Misure di sicurezza informatiche (o logiche)
Fattori da
considerare per la sicurezza informatica:
- sicurezza della rete e dei sistemi di informazione (sistemi di
autenticazione);
- sicurezza dei dati conservati nel sistema (controlli di accesso);
- sicurezza online (sito web o applicazioni online);
- sicurezza dei dispositivi, in particolare quelli personali se usati per
motivi aziendali finalizzati anhe al corretto back up.
I sistemi di
autenticazione devono essere configurati in modo da controllare gli accessi ai
dispositivi e agli applicativi, tramite credenziali (username e password). La
politica in materia di password dovrebbe essere definita a documentata, con indicazione della
lunghezza minima e dei criteri per la scelta delle password. Sarebbe
preferibile avere profili con privilegi distinti e compiti separati.