Misure di sicurezza

La sicurezza nel trattamento dei dati personali è un obbligo di legge che il Regolamento UE 679/16 (GDPR) impone al titolare e al responsabile del trattamento, responsabilizzando entrambe le figure ai fini di una corretta adozione delle adeguate misure di sicurezza.

La primaria fonte normativa è rappresentata dall’art. 32 del GDPR, il quale stabilisce che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”

L’approccio alle misure di sicurezza è un aspetto molto delicato che necessita di un’attenta valutazione: non è utile, in tal senso, una loro standardizzazione, in quanto le stesse non possono prescindere da una valutazione delle peculiarità di ogni singolo trattamento. Senza un esame specifico di ogni trattamento, infatti, l’adozione di una misura di sicurezza non può essere considerata concretamente idonea rispetto alla finalità di tutela che si intende perseguire.

L’obiettivo di responsabilizzazione che permea tutto il GDPR è così ravvisabile anche – e soprattutto – nel contesto delle misure di sicurezza, dove si impone al titolare e al responsabile un approccio al trattamento su più livelli, dalle cui valutazioni finali confluiranno in una serie di misure tecniche e organizzative da implementare, mantenere e rivedere periodicamente.

Le linee guida dell’Enisa offrono alcune utili indicazioni al fine di approcciarsi ad una corretta valutazione del rischio per ogni trattamento. Tale valutazione è infatti un passaggio fondamentale in quanto, proprio a partire da questa, si determineranno le idonee e adeguate misure di sicurezza da adottare.

In particolare, un virtuoso approccio dovrebbe seguire il seguente ordine.
Definizione dell’operazione di trattamento.
In questo primo step andrà definita l’operazione di trattamento, le tipologie di dati personali trattate, la finalità del trattamento, le categorie di soggetti interessati, le categorie di destinatari.

Con questa prima valutazione, andranno prese in considerazione tutte le varie fasi di trattamento dei dati personali: la raccolta, la conservazione, l’utilizzo, l’eventuale comunicazione o trasferimento.
Comprensione e valutazione dell’impatto.

Successivamente, il titolare del trattamento dovrà valutare l’impatto sui diritti e le libertà degli interessati, a seguito di un eventuale perdita di sicurezza dei dati personali.

La valutazione d’impatto è un processo qualitativo il cui risultato dipenderà dalla tipologia di dati trattati, dal loro volume, dalla criticità dell’operazione e da eventuali speciali categorie di interessati.

A seguito della valutazione, si possono ottenere quattro diversi livelli di impatto: basso, medio, alto e molto alto. Ciascun livello presenterà, a seconda della gravità, differenti conseguenze pregiudizievoli, nonché differenti livelli di difficoltà per porvi rimedio, e sulla base di questi saranno collocati nella relativa gradazione d’impatto.

Tale valutazione può essere effettuata separatamente per valutare l’impatto della perdita di riservatezza, dell’integrità e della disponibilità dei dati.
Il più alto dei livelli conseguito sarà quello da considerarsi finale, e dunque sarà applicabile al trattamento complessivo dei dati personali.

Definizione di possibili minacce e la loro probabilità.
In questa fase, è necessario comprendere le minacce correlate al contesto specifico e complessivo del trattamento, valutando altresì la loro probabilità di accadimento.

Le diverse aree che entrano in gioco sono relative alle risorse hardware e software, alle persone coinvolte nelle operazioni e il settore di operatività con relativa scala di trattamento.

Ad esempio, se l’accesso al sistema di elaborazione dei dati viene fornito tramite internet, aumenterà la probabilità di minacce esterne; d’altro canto, le minacce potrebbero verificarsi anche internamente, qualora i sistemi non vengano opportunamente configurati o l’accesso non sia protetto da specifici meccanismi di registrazione e monitoraggio.

Valutazione finale del rischio attraverso combinazione della probabilità di accadimento e l’impatto sugli interessati.

Una volta valutati accuratamente tutti gli aspetti sopracitati è possibile determinare e selezionare le misure di sicurezza appropriate, di natura tecnica e organizzativa, tenendo conto del livello di rischio ottenuto, nonché “dello stato dell’arte e dei costi di attuazione”, al fine di garantire la massima tutela possibile non solo nel rispetto formale di quanto imposto dal GDPR, ma nel rispetto sostanziale dei diritti fondamentali che attraverso il GDPR si vogliono salvaguardare.

Per acquisire maggiore conoscenza sugli aspetti giuridici che riguardano la gestione dei dati personali Deep Learning Italia offre una serie di corsi ad hoc. Li si può trovare all’interno della specializzazione “Legal Tech Professional” o come corsi singoli.