17 Mag Le misure di sicurezza da adottare per il trattamento dei dati
L’art. 22 del Regolamento introduce una prima indicazione delle misure laddove dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative, idonee ad assicurare e dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento.
Una seconda indicazione è prevista all’art,. 32 laddove si legge che:
«Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio».
L’adozione di misure concrete sono indispensabili per garantire un livello di sicurezza adeguato al rischio.
Nel dettaglio l’art. 32, par. 1 indica alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare, precisamente:
1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
4. una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In merito alla pseudonimizzazione, questa deve essere intesa come un particolare trattamento dei dati personali realizzato in modo tale che i dati stessi non potranno più essere attribuiti direttamente ed automaticamente ad un interessato specifico. Infatti, i trattamenti saranno pseudonimizzati quando tali dati potranno essere ricondotti all’interessato cui si riferiscono solo attraverso l’impiego di altre informazioni aggiuntive, che dovranno essere, a tal fine, conservate separatamente e con l’impiego di precauzioni tecniche e organizzative adeguate. La finalità ultima è difatti quella di garantire che i dati personali non possano essere attribuiti ad una persona fisica identificata o identificabile.
Quanto alla cifratura dei dati, da realizzare attraverso l’utilizzo di meccanismi che normalmente prevedono l’impiego di algoritmi di crittografia mediante l’utilizzo di una passphrase. Si tratta quindi di un meccanismo che permette di protegge i dati conservati attraverso modalità che, nella maggior parte dei casi, non sono superabili o aggirabili da malintenzionati.
Il riferimento al concetto di resilienza dei sistemi e dei servizi informatici vuole identificare, in termini molto generali, la capacità intrinseca di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura al fine di assicurare sempre la disponibilità dei servizi che vengono forniti e la adeguata protezione dei dati che vengono trattati con tali sistemi.
Infine, quanto al disaster recovery viene individuata la capacità di reagire in modo efficace e tempestivo ad eventuali criticità dovute ad incidenti fisici o tecnici, allo scopo di ripristinare la disponibilità e l’accesso dei dati personali oggetto di trattamento.
A tale riguardo, sarà quindi importante per i titolari predisporre un programma specifico attraverso cui analizzare innanzitutto i rischi che potrebbero andare a colpire il sistema informatico; prevedere poi le adeguate misure da adottare per minimizzarli; ed infine predisporre un piano di emergenza che permetta di attuare un sistema alternativo di elaborazione dei dati da utilizzare in attesa della completa riattivazione.
Ribadendo che, come previsto dall’art. 32, paragrafo 1 sopra richiamato, le misure di sicurezza dovranno essere tali da «garantire un livello di sicurezza adeguato al rischio» creato dal trattamento, che l’elencazione delle misure fatta dal Regolamento deve essere necessariamente considerata esemplificativa e non esaustiva e, in questo senso, aperta all’individuazione di altre diverse possibili misure ideate in base al contesto concreto in cui vengono poste in essere.