I dubbi e le perplessità che sono nate dalla lettura del Regolamento UE 679/2016, ovvero il nuovo regolamento sulla privacy, riguarda l’adeguamento tecnico e software delle società. Il tutto al fine di garantire la sicurezza dei dati acquisiti. Ho già scritto un altro articolo per cercare di chiarire il dato normativo e di evitare distorsioni anche in considerazione delle molte leggende che si stanno diffondendo.
Anche in questo articolo, come nel precedente, cercherò di chiarire quali sono gli effettivi adeguamenti richiesti dalla normativa per garantire la sicurezza dei trattamenti dei dati personali. In tutto ciò ovviamente ci sono i soliti “avvoltoi” che offrono i loro servizi a migliaia di euro senza che siano richiesti effettivamente.
Il dato normativo: Articolo 32 – Sicurezza del trattamento
1) Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Cosa richiede effettivamente la normativa?
La norma richiede che vengano messe in atto tutte le misure tecniche ed organizzative necessarie per garantire un livello di sicurezza adeguata al rischio. Tenendo presente costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Quindi di base non impone alcun adempimento obbligatorio! Successivamente elenca alcune ipotesi applicative per poter garantire la sicurezza dei dati preceduta dalla locuzione “se del caso”. Questa locuzione implica una valutazione del rischio e conseguentemente adeguare la protezione alla valutazione del rischio stesso.
Alla base di tutto quindi è necessaria una valutazione del rischio. Quindi tornando al caso di una piccola azienda che magari ha un centinaio di dati personali non sensibili ritengo superfluo operare le ipotesi di cui al punto a) e d). Quando è necessario operare anche quelle misure? Aziende che trattano dati particolarmente sensibili come Ospedali, oppure aziende che trattano migliaia e migliaia di dati (compagnie telefoniche) debbano predisporre tutte le misure possibili. Un eventuale trafugamento dei loro dati creerebbero un danno rilevante per un numero considerevole di utenti.
Cosa deve fare una piccola azienda?
Deve comunque garantire i propri utenti che i dati consegnati siano al sicuro da attacchi esterni e che non vadano persi o distrutti senza che ci sia una possibilità di recuperarli. Le misure devono essere predisposte anche in relazione ai costi che devono essere affrontati e alle disponibilità dell’azienda stessa. Non sono un tecnico informatico per poter consigliare effettivamente quali siano le misure tecniche che devono essere attuate; salvo ulteriori richieste specifiche da parte del legislatore, ritengo che non siano necessari troppi cambiamenti rispetto a quanto era stato già previsto dalla vecchia normativa.
Interessante anche l’articolo sulla privacy e DPO