Misure di sicurezza tecniche e organizzative in materia di Privacy – GDPR
L’articolo 32 del Regolamento Europeo 679/2016 – GDPR afferma che il Titolare del trattamento e il Responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
Il Regolamento Europeo 679/2016 – GDPR non fornisce un elenco dettagliato di ogni misura tecnica e organizzativa da adottare per un corretto adeguamento, bensì elenca dei criteri da tenere in considerazione per definire quali sono le misure di sicurezza adeguate da adottare.
Per un corretto adeguamento al Regolamento Europeo 679/2016 – GDPR, ogni Titolare del trattamento dovrà esaminare nello specifico la sua realtà aziendale: verificando quali sono le procedure operative che coinvolgono il trattamento dei dati personali ed accertando eventuali criticità potrà valutare il rischio specifico per ogni trattamento di dati personali e successivamente adottare misure di sicurezza tecniche e organizzative specifiche per proteggere il patrimonio informativo aziendale.
L’adozione di misure di sicurezza deve garantire la riservatezza, integrità, la disponibilità dei dati e la resilienza dei sistemi e dei servizi di trattamento:
- i dati devono essere trattati solo da persone autorizzate ed esclusivamente per finalità consentite e strettamente attinenti allo svolgimento di attività professionali;
- i dati devono essere sempre accessibili e utilizzabili (ovviamente solo da parte di soggetti autorizzati), cioè, in caso di perdita, modifica o distruzione anche accidentale, si deve essere in grado di recuperarli e ripristinarne l’accesso e la disponibilità.
Misure di sicurezza adeguate alla Valutazione del Rischio Privacy
In un’ottica di accountability e responsabilizzazione del titolare e del responsabile, appare evidente come l’adozione e l’implementazione di misure di sicurezza adeguate, non possa prescindere da una corretta e attenta analisi e valutazione dei rischi presenti: ogni realtà aziendale dovrà adottare soluzioni specifiche per le sue necessità, secondo una corretta Valutazione del Rischio Privacy.
A titolo esemplificativo, analizziamo ora due aziende diverse: un centro di analisi mediche diagnostiche e un’impresa edile: entrambi i soggetti dovranno analizzare e valutare i rischi relativi al trattamento di dati personali trattati.
Anche senza entrare nel dettaglio di una valutazione specifica, è chiaro anche all’occhio meno esperto come il trattamento di categorie particolari di dati (relativi alla salute dei pazienti) effettuato dal centro medico e il trattamento di dati anagrafici dei clienti da parte dell’azienda edile, presentino profili di rischio totalmente differenti e di conseguenza necessitino l’adozione di misure di sicurezza diverse.
Misure di sicurezza Privacy – GDPR
Fatte queste doverose premesse analizzeremo alcune delle misure di sicurezza tecniche e organizzative che possono essere adottate per garantire la sicurezza dei dati personali:
- formazione: la formazione dei vari soggetti che, a vario titolo, trattano dati personali, è una vera e propria misura di sicurezza. Un’adeguata conoscenza della tematica relativa alla protezione e al corretto trattamento dei dati personali appare necessaria per prevenire comportamenti (anche involontari) che possono mettere a rischio il patrimonio informativo aziendale;
- redazione del registro delle attività di trattamento: questo documento costituisce una mappatura di tutte le attività di trattamento svolte in una specifica realtà aziendale. Oltre ad essere un adempimento richiesto dal Regolamento Europeo 679/2016 – GDPR, un registro aggiornato dimostra di avere una piena conoscenza delle attività di trattamento dei dati personali effettuate;
- nomine: nominare e fornire le istruzioni operative per i soggetti che trattano dati personali (responsabili del trattamento, soggetti autorizzati…) permette di definire quali sono i dati alle quali hanno accesso in base a funzioni e responsabilità. Ogni soggetto deve trattare esclusivamente i dati prettamente necessari allo svolgimento della sua attività in base ai privilegi e alle funzioni che gli sono state assegnate. Essere sempre a conoscenza di chi sta trattando determinati dati dimostrare di avere una piena consapevolezza delle attività di trattamento svolte;
- censimento e protezione delle reti aziendali e degli strumenti elettronici (hardware e software):uno strumento elettronico (ad esempio un personal computer) può costituire una potenziale fonte di accesso alla rete aziendale da parte di malintenzionati. Identificare ogni strumento utilizzato ed eliminare gli strumenti non utilizzati (ricordiamo di smaltire i rifiuti elettronici in modo opportuno, ogni dispositivo può contenere dati personali che devono essere eliminati prima di un’eventuale dismissione) permette di avere sotto controllo i punti di accesso alla rete aziendale;
- censimento e protezione degli archivi cartacei ed elettronici: identificazione degli archivi e attuazione di misure di prevenzione per impedire l’accesso a soggetti non autorizzati (ad esempio: locali o mobili chiusi a chiave, installazione di sistemi di rilevazione antintrusione, predisposizione di credenziali di autenticazione per l’accesso ecc.) o la distruzione degli archivi (installazione di impianti e dispositivi di rilevazione antincendio per prevenire l’insorgenza di incendi, sollevamento da terra degli archivi per prevenirne l’alterazione in caso di allagamento ecc.);
- implementazione delle misure di protezione informatica per le architetture di rete (firewall ecc.) e degli strumenti elettronici (aggiornamento dei sistemi operativi, installazione e aggiornamento di software antivirus ecc.);
- corretto smaltimento dei rifiuti cartacei: distruggere i documenti contenenti dati personali prima di eliminarli garantisce l’inaccessibilità delle informazioni ed evita la diffusione (anche involontaria) di dati;
- pianificazione degli spazi di lavoro e delle postazioni di lavoro in modo che i soggetti non autorizzati non possano acquisire dati personali, ad esempio:
- predisporre le postazioni di lavoro personali in modo che i monitor dei personal computer non risultino visibili da parte di soggetti non autorizzati;
- predisporre eventuali sale di attesa separate dagli ambienti di lavoro per evitare che i soggetti non autorizzati possano ascoltare le conversazioni;
- predisposizione di distanze minime “di cortesia” per distanziare l’utenza esterna che ha accesso ai locali di lavoro;
- predisposizione di procedure di back-up per il recupero e il ripristino di dati: oltre a garantire un corretto recupero dei dati queste procedure permettono una continuità operativa da parte dell’azienda preservandola da un potenziale danno economico dovuto all’interruzione delle attività lavorative (si pensi ad esempio a una potenziale inaccessibilità temporanea ad archivi, server, gestionali o software);
- corretta gestione delle password: ogni operatore deve possedere nome utente e password personali per l’acceso a dispositivi elettronici e software: le credenziali non devono esser condivise ma costituiscono informazioni strettamente personali.
Accessi e password
Nome utente e password devono essere conservate in modo sicuro: appuntarle su foglietti o salvarle in file non protetti costituiscono pratiche scorrette e sconvenienti.
Infine, le password devono essere complesse e non devono essere facilmente riconducibili all’utilizzatore: una buona password può ritenersi valida se è sufficientemente lunga ed è costituita da un “codice” che contiene numeri, lettere maiuscole e minuscole e simboli.
L’elenco delle misure succitate è puramente indicativo e non costituisce un elenco ufficiale di misure da adottare, una corretta analisi e valutazione dei rischi basata sulle minacce presenti in azienda rappresenta lo strumento per determinare con precisione le misure da adottare.
