Misure di sicurezza per la protezione dei dati personali


La sicurezza del trattamento dei dati personali è uno dei cardini del GDPR, il Regolamento generale sulla protezione dei dati adottato dall’Unione europea nel 2016 e operativo da maggio del 2018. In particolare, si parla di sicurezza del trattamento nell’articolo 32 e nel disposto dell’articolo 22. Il Regolamento espone un concetto semplice ma al tempo stesso articolato: “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Che cosa significa? Lo abbiamo chiesto ad una nostra esperta.

Indice

Cosa si intende per misure tecniche

Cosa si intende per misure organizzative

Differenza tra titolare e responsabile del trattamento

Violazioni e sanzioni

Cosa si intende per misure tecniche

Misure di sicurezza per la protezioni dei dati personali

Le misure tecniche da adottare per garantire la sicurezza del trattamento dei dati personali sono le più diverse e variano in base al trattamento posto in essere. Generalmente si tratta di misure informatiche.

La password

Una misura di sicurezza tecnica che può sembrare banale ma è fondamentale, è il cambio periodico di password, già regolato dal vecchio codice. Quando si è in possesso di dati particolarmente sensibili come quelli sanitari, la password per accedere ai dati dell’interessato deve essere cambiata ogni tre mesi. Se siamo invece nell’ambito di dati anagrafici e di contatto più comuni, basta cambiare il codice ogni sei mesi. Altra regola, sempre per la password: deve essere alfanumerica, lunga almeno otto caratteri e difficilmente riconducibile all’interessato o all’interessato. Per fare un esempio, utilizzare la data di nascita non è una buona idea.

Il firewall

Un altro strumento importante è l’installazione di un firewall sui dispositivi attraverso cui si maneggiano i dati. Di un sistema di protezione, cioè, che difende la rete aziendale collegata a Internet da accessi non autorizzati.

L’antivirus

Stessa importanza è data dal sistema antivirus che va aggiornato con cadenza regolare per poter bloccare in maniera efficiente ed efficace tutti i nuovi malware presenti in rete.

Il backup

Il backup periodico dei dati di cui si è in possesso è necessario non soltanto per la sicurezza degli stessi, ma anche per applicare quella parte dell’articolo 32 in cui si fa esplicito riferimento alla disponibilità dei dati. Il backup, cioè, mette al riparo da qualunque smarrimento di dati.

La crittografia

In presenza di dati particolarmente delicati, questo sistema garantisce un’accessibilità molto difficile a chi non possiede la chiave di lettura.

La pseudonomizzazione

E’ un sistema simile alla crittografia, che permette di risalire al dato criptato traducendolo in chiaro in un secondo momento. È diversa dall’anonimizzazione che non permette invece di risalire all’identità del dato. Generalmente la seconda opzione si utilizza quando si lavora con statistiche in forma aggregata, utili per analisi quantitative e non qualitative. L’anonimizzazione, però, è un processo che, rendendo il dato non leggibile, non è soggetto a Regolamento.

La Vpn

Si tratta, in parole semplici, di una rete aziendale per la trasmissione dei dati in maniera estremamente sicura.

Resilienza dei sistemi e dei servizi di trattamento

Questo concetto esprime la necessità di assicurare che tutto ciò che lavora con i dati sia sicuro, aggiornato, disponibile, flessibile, resistente agli attacchi. I dati cioè devono essere sempre disponibili, aggiornati, protetti e i sistemi informatici che li gestiscono devono sempre avere una certa resistenza agli attacchi esterni. Devono infine essere modificabili dall’interessato e, qualora sottratti, ripristinati nel minor tempo possibile.

Cosa si intende per misure organizzative

Misure di sicurezza per la protezione dei dati

Le misure organizzative da adottare per garantire la sicurezza del trattamento dei dati personali sono per lo più misure fisiche, le quali necessitano, cioè, di azioni che vanno al di là delle misure strettamente informatiche, completandole.

Istruzioni ai dipendenti

Una misura organizzativa è, ad esempio, ciò che si trasmette ai dipendenti di un’azienda in tema di trattamento dei dati personali. Il titolare del trattamento, cioè, istruisce tutti coloro che lavorano con dati sensibili per spiegare come garantirne la sicurezza, la reperibilità etc.

La server room

Banale ma non superflua è la buona prassi di tenere sempre ben chiusa la stanza in cui sono custoditi i server aziendali, di modo che possa accedervi soltanto chi ne ha l’autorizzazione.

L’impronta digitale

La lettura dell’impronta digitale, dell’iride o la rilevazione facciale sono strumenti utili per proteggere i dati, ad esempio utilizzati come sistemi per aprire e chiudere la server room.

La formazione

Ogni dipendente, anche attraverso corsi ad hoc, dovrebbe essere sempre aggiornato su tutte le misure di sicurezza – tecniche e organizzative – che l’azienda mette in atto per garantire la sicurezza dei dati personali custoditi.

L’ambiente di lavoro

Banalmente, tenere la scrivania sgombra da documenti importanti, impedisce che chiunque possa accedere ai dati riservati che gli stessi documenti contengono.

Differenza tra titolare e responsabile del trattamento

Misure di sicurezza per la protezione dei dati

Quando si parla di sicurezza dei dati, sono due le figure che ne sono responsabili, il titolare e il responsabile. La distinzione tra i due, apparentemente complessa, è in realtà molto semplice: il titolare è quell’ente o persona fisica che dispone dei dati. È, ad esempio, la società X che dispone dei dati dei propri dipendenti o l’azienda Y che è a conoscenza dell’anagrafica dei suoi clienti o di chi interagisce con l’azienda stessa. Il responsabile, invece, è la persona fisica o giuridica che compie una determinata attività per conto del titolare e che implica l’utilizzo di dati personali. Un esempio è la società, magari esterna all’azienda, che si occupa della manutenzione e dell’assistenza ai computer. Può vedere tutti i dati, ma non sono suoi, appartengono all’azienda per cui lavora. Il ruolo di responsabile, va ricordato, va sempre sancito da un contratto esistente tra il titolare e il responsabile stesso, un contratto ad esempio di servizi, di fornitura etc.

Altri esempi possono essere il commercialista che prepara le buste paga dei dipendenti di un’azienda o l’agente rappresentante che acquisisce clienti a beneficio di una determinata azienda. Entrambi, il titolare e il responsabile del trattamento dei dati personali, devono garantire le misure di sicurezza.

Violazioni e sanzioni

misure di sicurezza, protezione dei dati personali, misure di sicurezza informatiche, misure di sicurezza fisiche

Se titolare e responsabile del trattamento non applicano queste misure o non riescono a garantire la sicurezza dei dati, accade quello che in gergo viene definito “data breach”: una violazione, cioè, dei dati personali che va assolutamente segnalata all’Autorità Garante, la quale deciderà se applicare o meno le sanzioni previste dal Regolamento, in base alla natura – inevitabile o meno – della violazione. Le sanzioni amministrative, ad esempio, variano dal 2 al 4 % del fatturato dell’azienda che non è riuscita a garantire la sicurezza dei dati o da 10 a 20 milioni.

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia