La direttiva n. 95/46 in materia di privacy e il nostro Codice Privacy che ne dava attuazione, per certi versi offrivano vita facile ai titolari del trattamento in relazione alle misure di sicurezza da adottare, almeno per quelle minime obbligatorie; tali misure infatti erano contenute nel famoso Allegato B al Codice Privacy e si trattava di un preciso elenco delineante strumenti tecnici e consigli applicativi tangibili che tutti i destinatari delle norme in materia di trattamento dati personali erano tenuti indistintamente ad impiegare; a queste misure minime obbligatorie poi se ne aggiungevano in alcuni casi delle altre, definite idonee, ovvero misure che ciascun titolare del trattamento poteva scegliere di implementare in base alla propria compagine organizzativa e al tipo di trattamento svolto.
I parametri da considerare nella scelta delle misure di sicurezza
Il Regolamento UE n. 679/2016, invece, cambia prospettiva ed eliminando l’elenco tassativo delle misure minime, le trasforma in strumenti personalizzati e proporzionati al trattamento, attribuendo maggiore libertà di scelta in capo a titolari e responsabili del trattamento in merito alle misure di sicurezza e organizzative da adottare nel concreto. Questa maggiore libertà, però ha effetto anche sulla gravità delle sanzioni che aumentano a loro volta e sul livello di responsabilizzazione dei titolari/responsabili del trattamento che sono chiamati oggi ad effettuare una valutazione preliminare prima della scelta delle misure da accogliere e implementare a tutela dei dati personali.
Il titolare/responsabile del trattamento, infatti, per determinare quali misure di sicurezza impiegare nella propria organizzazione, deve prendere in considerazione, diversi parametri, come la natura del trattamento, la categoria dei dati trattati, il contesto in cui si svolge il trattamento, le finalità del trattamento e il rischio potenziale, analizzato in termini di gravità e probabilità di accadimento, ovvero in che modo il trattamento potrebbe ripercuotersi sui diritti e le libertà degli interessati, esaminando, in particolare, i possibili danni che una distruzione, una perdita, una alterazione, un accesso indesiderato, una trasmissione o diffusione involontaria o dolosa dei dati potrebbero provocare sulle persone. E’ ovvio che i rischi individuati, ad esempio, nel trattamento di dati di natura particolare come dati finanziari ed economici, dati biometrici o sanitari saranno di certo potenzialmente più dannosi, qualora si verificassero, rispetto ad un trattamento di soli dati generici, pertanto il titolare che gestisce tali dati particolari dovrà di certo optare per misure di sicurezza più forti, rispetto ad esempio ad un titolare che si trova a trattare dati che non hanno una natura così delicata.
Solo dopo aver svolto tali verifiche, delle quali occorre tenere traccia, il titolare/responsabile del trattamento potrà opportunamente decidere quali sono le misure adatte alla propria organizzazione, in ragione dello stato dell’arte e del budget a disposizione per attuarle (cons. 83 GDPR e art. 32).
Cosa deve garantire il titolare del trattamento attraverso le misure di sicurezza
Il GDPR quindi non presenta un elenco preciso di misure di sicurezza di natura tecnica e organizzativa, l’art. 32, infatti, propone delle categorie di misure, premettendo che prima della selezione e dell’adozione, il titolare/responsabile del trattamento deve appunto tenere conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Ancora una volta quindi nella logica del GDPR la fase di assessment diventa uno step imprescindibile, di fondamentale importanza.
Un titolare/responsabile del trattamento, secondo l’art. 32 dovrebbe considerare l’adozione di strumenti che consentano la pseudonimizzazione e la cifratura dei dati, misure che abbiano la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure che consentano di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Nel dare concretezza al principio dell’accountability e della personalizzazione delle misure da adottare commisurate al trattamento e al rischio potenziale ad esso connesso, più che fornire una precisa lista di misure, il legislatore europeo ha preferito non tipizzare, ma offrire validi suggerimenti, considerando quello che le misure devono permettere di ottenere nell’ottica di diminuzione dei rischi potenziali individuati e quindi sarà necessario adottare misure che siano in grado di:
- rendere i dati indecifrabili (si tratta di una delle misure di sicurezza considerate allo stato della tecnica tra le più efficaci, si pensi nella pratica ad esempio, al furto dello strumento fisico su cui si trovano dati personali, ma anche ad un accesso illecito all’archivio informatico che contiene le informazioni, garantendo che queste restino incomprensibili, i dati saranno inutilizzabili e quindi protetti);
- assicurare la riservatezza, l’integrità e la disponibilità dei dati;
- ripristinare velocemente la disponibilità e l’accesso in caso di incidente fisico;
- verificare periodicamente l’efficacia delle misure precedenti (non è sufficiente analizzare, scegliere e impiegare le misure, occorre prevedere procedure per testare periodicamente l’efficacia di quanto adottato).
La scelta degli strumenti nel concreto è rimessa al titolare/responsabile. Queste misure di sicurezza dovranno poi essere accompagnate da istruzioni operative e policy interne che consentano a coloro che trattano i dati nell’ambito delle proprie mansioni aziendali e dei propri ruoli di conoscere gli strumenti operativi presenti in azienda e sapere come servirsene in maniera legittima e consapevole al fine ultimo di garantire la concreta protezione dei dati.
