Uno dei principi cardine, derivanti dalla applicazione delle disposizioni del Regolamento Generale 679/2006 in materia di protezione dei dati personali (il GDPR), ed in particolare di quelle dell’art. 32, dedicato proprio alle misure di sicurezza che il titolare ed il responsabile di un trattamento sono solidalmente obbligati a garantire, in base al principio di accountability, sulla base di una adeguata valutazione dei rischi, sia da un punto di vista tecnico sia da un punto di vista organizzativo, è quello in base al quale, la protezione del patrimonio immateriale digitalizzato di una organizzazione, oltre che con una appropriata gestione di incidenti informatici derivanti da minacce esterne, a cui si connettono soventemente ipotesi connesse a spionaggio, violazione della proprietà intellettuale, data breach e compromissione della reputazione aziendale, dovrebbe essere messa in atto, mediante l’adozione di best practices, a partire dal perimetro aziendale.
In particolare, a seguito dell’introduzione del Regolamento (UE) 2016/679 non sono più previste misure cosiddette “minime” di sicurezza, come era previsto all’articolo 33 Codice Privacy e Disciplinare tecnico in materia di misure minime di sicurezza, ma è prescritto, ex art. 32, l’obbligo di adottare misure tecniche ed organizzative “adeguate al rischio”, in capo al Titolare ed ai Responsabili del trattamento, i quali dovranno effettuare una valutazione in relazione ai rischi specificatamente individuati, e prendendo in considerazione, ambito, contesto e finalità del trattamento e, altresì, lo stato dell’arte, ovvero l’evoluzione tecnologica, e i costi di attuazione.
In questo ambito vale la pena osservare come, uno dei parametri da considerare nella determinazione del livello quantitativo e qualitativo di sicurezza da impiegare nella protezione dei dati personali, particolari e non, oggetto di trattamento, da parte di un titolare, anche mediante l’impiego di sistemi elettronici di elaborazione, sia costituito, in realtà, da una nozione, quella di stato dell’arte, dai contenuti non perfettamente ed uniformemente definiti all’interno dei principi che sorreggono l’applicazione delle norme in materia di protezione dei dati personali nei vari ordinamenti giuridici degli altri paesi europei.
In effetti il valore semantico da attribuire all’espressione “stato dell’arte”, con la quale è stata tradotta, per esempio, dall’inglese, anche essa, lingua ufficiale dell’Unione Europea, la corrispondente espressione “state of the art”, sembra essere diverso, dovendosi attribuire, ad esso, nella lingua inglese il senso di conoscenze più evolute, ed, invece, in quella italiana, di consolidamento della scienza e della tecnica, con evidenti potenziali differenze sostanziali nei meccanismi interpretativi dei giudici che, di volta in volta, potrebbero essere chiamati, anche in relazione a fattispecie verificatesi al di fuori dei loro confini nazionali, a valutare la misura dell’adempimento alle norme in materia di protezione dei dati personali.
Nel contesto sopra descritto non può che accogliersi con favore, in un’ottica di coerenza interpretativa, cioè di individuazione di parametri condivisi di applicazione eurounitaria delle norme, la recente adozione dello standard ISO/IEC 27701:2019 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines, che specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione delle informazioni sulla privacy (PIMS) sotto forma di estensione di ISO / IEC 27001 e ISO / IEC 27002 per la gestione della privacy nel contesto dell’organizzazione.
Ciò chiarito, non vi è dubbio che le misure di sicurezza attuate debbano garantire un livello di sicurezza adeguato all’eventuale rischio, che può configurarsi, ad esempio la distruzione, la modifica, la perdita, la divulgazione non autorizzata ovvero l’accesso, accidentale o illegale, ai dati personali trattati. Con l’obiettivo ragionevole da perseguire di abbassare il rischio ad un livello accettabile.
Deve essere inoltre essere garantita la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Con resilienza di un sistema informativo si identifica la capacità del sistema all’adattamento alle condizioni d’uso e la capacità di resistere all’usura al fine di garantire la disponibilità dei servizi.
Le misure tecniche ed organizzative previste dall’art 32 GDPR comprendono, tra le altre, la pseudonimizzazione e la cifratura dei dati. Dando per condivisa la nozione di base degli effetti dell’adozione di tecniche di cifratura, nello specifico, mediante la pseudonimizzazione, i dati personali sono trattati in modo tale che non possano essere attribuiti ad un interessato determinato senza far ricorso ad ulteriori informazioni, le quali devono essere conservare in modo separato e che siano sottoposte a misure tecniche ed organizzative volte a garantire la non attribuibilità ad un soggetto identificato o identificabile.
L’elencazione delle fattispecie indicate all’Art. 32 non è esaustiva, in quanto il Responsabile ed il Titolare del trattamento hanno l’obbligo di valutare caso per caso i rischi, e nonostante l’Autorità garante non abbia previsto misure “minime”, come era previsto in precedenza, ciò non esclude che la stessa Autorità possa definire “linee- guida” fondate sulla base dei risultati conseguiti.
Lo stesso articolo 32 stabilisce inoltre che, per dimostrare la conformità ai requisiti di cui sopra può essere utilizzata l’adesione ad un codice di condotta o a un meccanismo di certificazione, inoltre, Chiunque agisca sotto l’autorità del titolare e del responsabile del trattamento e abbia accesso a dati personali deve essere opportunamente istruito sui suoi obblighi.
Da un punto di vista pratico, a fondamento di un comparto aziendale protetto il titolare dell’impresa dovrà, nel rispetto della vigente normativa, mettere in atto comportamenti atti a far si che il personale dipendente sia informato sul buon uso degli strumenti digitali messi a disposizione dall’azienda, e sugli eventuali controlli sugli stessi, evitando altresì ogni interferenza sui diritti e sulle libertà fondamentali del lavoratore stesso.
Tra le misure tecniche ed organizzative vengono altresì indicate la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico ed una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Dal punto di vista della sicurezza logica al fine di tutelare la proteggibilità del dato è opportuno, oltre che dotarsi di antivirus e firewall, anche mettere in atto accorgimenti pratici come, ad esempio, tenere traccia degli accessi e delle operazioni effettuate dagli utenti nel sistema informatico attraverso un sistema di gestione dei file di log, ovvero l’adozione di procedure atte alla custodia di copie in sicurezza, il backup ovvero sistemi di ripristino dei dati e dei sistemi, mettendo così in atto un piano di disaster recovery volto a atte a ripristinare la disponibilità e l’accesso ai sistemi ed alle infrastrutture aziendali, ed infine, ma non per ultimo, la previsione di sistemi di autorizzazioni per l’accesso ai device o ai sistemi informatici, individuando procedure di autenticazione di gestione delle credenziali di accesso.
Avv. Giuseppe Serafini
