GDPR: misure di sicurezza

In Privacy
Tempo di Lettura: 4 minuti
Redatto dal dott. Antonio Massari

Una tematica molto interessante nonché oggetto di recenti sviluppi interpretativi è quella relativa alle misure di sicurezza, ossia gli accorgimenti tecnici e organizzativi che il Titolare/Responsabile del trattamento deve adottare al fine di tutelare e garantire la sicurezza dei dati personali dei soggetti interessati (ex All. B D.lgs. 196/2003). Cosa è cambiato con le novità introdotte dal Regolamento europeo?

L’art. 32 del GDPR non elenca tassativamente le misure minime da adottare, tuttavia prescrive l’obbligo per i titolari e i responsabili del trattamento di mettere in atto misure tecniche e organizzative tali da assicurare un livello di sicurezza adeguato al rischio in un’ottica di accountability. Ciò significa che, dopo il 25 maggio 2018, non potranno sussistere obblighi generalizzati di adozione di misure “minime” di sicurezza dal momento che tale valutazione sarà rimessa caso per caso al titolare e al responsabile del trattamento, i quali dovranno prendere in considerazione tutti i rischi connessi alla sicurezza del trattamento nonché tutte le minacce a cui potrebbero essere esposti i dati trattati al fine di adottare misure tecniche ed organizzative adeguate a contrastarli.

A questo proposito, nell’ottica di aiutare ed indirizzare le aziende ad adottare misure idonee a proteggere i dati personali in conformità con il dettato del GDPR, il CNIL ha di recente emanato delle linee guida (La Sècuritè des donnés personnels) che forniscono raccomandazioni pratiche sotto forma di “Do’s and Dont’s“.

Il CNIL infatti riconosce che, sebbene il GDPR fornisca indicazioni circa la tipologia di misure che possono essere considerate appropriate (ad esempio, la pseudonimizzazione e la crittografia dei dati personali, la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione etc.), tale determinazione può risultare impegnativa per le imprese che non hanno familiarità con i metodi di gestione dei rischi nell’ambito dell’elaborazione dei dati. La guida del CNIL, pertanto, ha lo scopo di fare chiarezza aiutando le aziende ad adottare sistematicamente misure di base idonee a tutelare i dati personali, fornendo anche un modulo di valutazione utile per verificare il livello di conformità.

Idealmente, il CNIL raccomanda di utilizzare questa guida nell’ambito della realizzazione di un’ampia strategia di gestione del rischio, che dovrebbe consistere in almeno 4 fasi:

  • Predisposizione di un elenco dei dati personali trattati e delle modalità di trattamento dei dati (ad esempio hardware, software, reti di comunicazione e persino file cartacei);
  • Analisi dei rischi di ciascun processo valutandone la gravità, la probabilità, i potenziali impatti (accesso non autorizzato, alterazione o perdita di dati), nonché le fonti di rischio (umane o non umane, interne, esterne) e le potenziali minacce elencando i controlli esistenti (controllo degli accessi, tracciabilità, anonimizzazione ecc.);
  • Implementazione e controllo delle misure appropriate;
  • Esecuzione di audit periodici per verificarne la sicurezza.

Le misure di sicurezza raccomandate dal CNIL sono molteplici e vanno dalla predisposizione di misure organizzative, corsi di formazione e procedure di revisione ad accorgimenti di natura prettamente tecnica. A titolo esemplificativo, di seguito alcuni degli accorgimenti più significativi:

  • Organizzare sessioni regolari di aggiornamento e sensibilizzazione al fine di aumentare la consapevolezza degli utenti che trattano dati personali sui rischi inerenti alla Privacy;
  • Documentare ed aggiornare le procedure adottate;
  • Limitare l’accesso degli utenti autorizzati ai soli dati strettamente necessari per lo svolgimento delle loro funzioni e dei loro compiti separando le attività e le aree di responsabilità;
  • Revisionare annualmente le autorizzazioni al fine di identificare ed eliminare gli account non utilizzati e aggiornare i diritti concessi a ciascun utente;
  • Predisporre un sistema di tracciabilità al fine di determinare l’origine di un data breach identificando l’accesso fraudolento o l’uso improprio dei dati personali;
  • Prevenire l’accesso fraudolento, l’attacco di virus o il controllo remoto, soprattutto via Internet;
  • Predisporre un meccanismo di blocco automatico della sessione in caso di inutilizzo della postazione, installazione di “firewall” utilizzando antivirus e software regolarmente aggiornati;
  • Implementazione di procedure di backup e sincronizzazione al fine di evitare la perdita dei dati; adozione di mezzi di crittografia per workstation mobili e supporti di memoria mobili (laptop, penne USB, disco rigido esterno etc.).
  • Limitare l’accesso a Internet bloccando servizi non necessari (VoIP, peer-to-peer, ecc.); gestire le reti Wi-Fi utilizzando una crittografia all’avanguardia (WPA2 o WPA2-PSK con una password complessa) tenendo separate le reti aperte agli ospiti dalle reti adibite ad uso interno;
  • Rafforzare le misure di sicurezza dei server e dei siti web, dal momento che qualsiasi sito Web deve garantire la riservatezza delle informazioni trasmesse.
  • Eseguire backup periodici per porre rimedio a perdite indesiderate di dati.
  • Sincerarsi della sicurezza degli archivi, soprattutto se i dati archiviati sono dati sensibili o potrebbero avere gravi ripercussioni sui soggetti interessati.
  • Supervisionare sempre alle operazioni di manutenzione dei dispositivi per controllare l’accesso ai dati da parte dei fornitori di servizi assicurandosi della distruzione dei dati presenti sui dispositivi da sostituire.
  • Rafforzare la sicurezza delle comunicazioni telematiche:
  • crittografare i dati sensibili, se la comunicazione avviene mediante posta elettronica.
  • utilizzare un protocollo che garantisca la riservatezza e l’autenticazione del server destinatario per il trasferimento di file, ad esempio SFTP o HTTPS, utilizzando le versioni più recenti dei protocolli;
  • assicurare la riservatezza delle chiavi di crittografia, password etc. trasmettendole separatamente (ad esempio, inviando il file crittografato per e-mail e comunicando la password per telefono o SMS).
Print Friendly, PDF & Email

You may also read!

CONTRATTI: Costruttore-venditore dell’immobile: è appalto o compravendita?

Corte di Cassazione, II Sezione Civile, n. 26574 del 12.09.2017 Redatto dal dott. Vincenzo Concia “Allorquando il venditore sia

Read More...

IL CASO TARICCO I E II: tra prescrizione, principio di legalità e diritto europeo

Redatto dalla dott.ssa Federica Antonacci La vicenda Taricco, ormai conosciuta agli addetti del settore giuridico, si pone all’interno del

Read More...

Preliminare di vendita immobiliare. Chi è il legittimato passivo in caso di danni derivanti dall’immobile?

Corte di Cassazione Civile, Sez. 2, n. 5915, anno 2018 Redatto dalla dott.ssa Silvia Tredici Con l’ordinanza n. 5915,

Read More...

Leave a reply:

Your email address will not be published.

Mobile Sliding Menu