Misure di Sicurezza
Il titolare del trattamento e il responsabile del trattamento devono attuare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR).
La valutazione circa l’adeguatezza delle misure tecniche ed organizzative da adottate tiene conto di:
- stato dell’arte
- costi di attuazione
- natura del trattamento
- oggetto del trattamento
- contesto del trattamento
- finalità del trattamento
Nella valutazione circa l’adeguatezza delle misure tecniche ed organizzative si deve tenere conto anche – e specialmente – dei rischi presentati dal trattamento, che derivano in particolare da distruzione, perdita, modifica, divulgazione non autorizzata, accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
L’art. 32 GDPR al par. 1 reca un elenco non esaustivo di misure tecniche ed organizzative che sono reputare adeguate:
- a) la pseudonimizzazione e la cifratura dei dati personali;
- b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
L’adesione a un codice di condotta (link al tema) o a un meccanismo di certificazione (link al tema) può essere utilizzata come elemento per dimostrare la conformità ai requisiti.
A completare il sistema delle misure di sicurezza, il legislatore europeo, in chiusura dell’art. 32, punta l’attenzione sul rischio umano: il titolare del trattamento e il responsabile del trattamento non si devono limitare ad applicare la normativa sulla sicurezza alla sola strumentazione – informatica in primis, ma anche fisica, si pensi agli armadi blindati – ma devono preoccuparsi di poter garantire che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso, salvo diversa previsione di legge.