Cambio di paradigma: il passaggio da un livello “minimo” ad un livello “adeguato”

Il Regolamento UE 2016/679 segna una notevole rottura rispetto alla previgente normativa in materia di protezione dei dati personali per quanto attiene alla sicurezza dei dati personali.

L’Allegato B del “vecchio” Codice Privacy prevedeva infatti l’elencazione di una serie di misure di sicurezza, volte a garantire un livello “minimo” di sicurezza (ad esempio: back-up a scadenza settimanale, l’aggiornamento delle patch dei vari software utilizzati e l’installazione e l’aggiornamento di un antivirus, l’utilizzo di password e altre).

La nuova normativa europea, invece, ai sensi dell’articolo 32 GDPR, non prevede più un livello “minimo” di sicurezza, ma parla invece di “adeguatezza” delle misure di sicurezza tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, non stabilendo più una soglia sopra la quale il livello di sicurezza si possa considerare di default sufficiente.

Nel rispetto del principio di accountability, infatti, i soggetti coinvolti nelle varie attività di trattamento (titolare e responsabile del trattamento in primis), nel garantire il livello di sicurezza “adeguato”, sono chiamati a una complessa attività di valutazione (tecnica, giuridica e organizzativa) che tenga conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche delle variabilità dei rischi per i diritti e le libertà delle persone fisiche.

È quindi richiesto un atteggiamento proattivo che non si limiti al mero rispetto letterale della norma, me che preveda nel concreto l’adozione e l’implementazione di misure di sicurezza calibrate sulla situazione specifica. Inoltre, non è sufficiente la mera predisposizione di adeguate misure di sicurezza, dal momento che il titolare del trattamento dei dati personali deve essere anche in grado di dimostrare, su richiesta dell’Autorità di controllo, che siano state adottate nella pratica misure appropriate ed efficaci.

Sicurezza del trattamento e prevenzione del rischio

Le misure di sicurezza adottate dal titolare del trattamento (così come dal responsabile del trattamento, ove eventualmente nominato) mirano a garantire la sicurezza dei dati personali dal verificarsi di violazioni che possano comportare accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Per fare ciò è obbligatorio che vengano effettuate le cosiddette analisi dei rischi su ciascuna attività di trattamento(sulla cui base verranno poi individuati i trattamenti da sottoporre a valutazione di impatto che si intenda svolgere, al fine di prevenire il verificarsi di qualsivoglia danno, materiale o immateriale.

In particolare, in relazione ai dati personali, detti rischi possono agire su tre piani:

1.      Riservatezza: divulgazione o accesso non autorizzati;

2.      Disponibilità: distruzione accidentale o illecita o perdita dei dati personali;

3.      Integrità:alterazione o modifica dei dati personali.

L’adeguatezza delle misure di sicurezza deve quindi essere verificata al netto di un bilanciamento tra vari elementi:

• la natura e le finalità del trattamento;
• la tipologia di dati personali trattati, ad esempio dati comuni, categorie particolari di dati, dati giudiziari;
• gli strumenti utilizzati per il trattamento;
• i rischi che possono gravare su detta attività di trattamento;
• l’impatto che il trattamento avrà sui diritti e sulle libertà fondamentali degli interessati, i costi e così via.

Tale impostazione impone al titolare del trattamento una verifica costante e periodica dei trattamenti svolti e l’adozione di azioni rimediali laddove emerga che quanto adottato in passato non sia più sufficiente a garantire una sicurezza adeguata dei dati personali trattati.

Quali tipi di misure di sicurezza sono previste dall’articolo 32 GDPR?

L’articolo 32 GDPR prevede espressamente il riferimento a due tipologie di misure di sicurezza:

a)  misure di sicurezza tecniche;

b)  misure di sicurezza organizzative.

Entrambi i gruppi rispondono all’esigenza di garantire il rispetto dei principi di privacy by design e privacy by default.

Misure di sicurezza organizzative

Ne sono un esempio la promozione di sessioni di formazione al proprio personale e l’adozione di determinate policy e prassi a livello aziendale (come policy sull’utilizzo dei sistemi IT e policy sull’esercizio dei diritti) che prescrivano una serie di comportamenti cui gli addetti al trattamento devono attenersi.

Misure di sicurezza tecniche

Dall’altro, quali misure tecniche, prevedendo l’utilizzo di strumenti idonei al perseguimento delle finalità stabilite nel rispetto della sicurezza tout court dei dati personali e dei relativi trattamenti, ad esempio antimalware, procedure di back up,

Privacy by default

Tra le misure tecniche, l’art. 32 GDPR prevede, inoltre, l’adozione di eventuale pseudonimizzazione e della cifratura, non presentando tuttavia un elenco chiuso e tipizzato delle misure tecniche consentite. Infatti, variando le misure di sicurezza adottabili a seconda dell’attività di trattamento concretamente poste in essere, il legislatore ha focalizzato la sua attenzione maggiormente verso l’indicazione di metodi da seguire più che di tecniche specifiche da utilizzare.

L’introduzione dell’articolo 32 GDPR ha quindi rivoluzionato l’approccio al tema della sicurezza dei dati. 

Contattaci per meglio comprendere quali siano gli obblighi ai quali gli operatori sono tenuti per tutelare i dati personali e a quali standard adeguarsi per evitare di incorrere in sanzioni.