Misure di Sicurezza

Il titolare del trattamento e il responsabile del trattamento devono attuare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR).

La valutazione circa l’adeguatezza delle misure tecniche ed organizzative da adottate tiene conto di:

  • stato dell’arte
  • costi di attuazione
  • natura del trattamento
  • oggetto del trattamento
  • contesto del trattamento
  • finalità del trattamento

Nella valutazione circa l’adeguatezza delle misure tecniche ed organizzative si deve tenere conto anche – e specialmente – dei rischi presentati dal trattamento, che derivano in particolare da distruzione, perdita, modifica, divulgazione non autorizzata, accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

L’art. 32 GDPR al par. 1 reca un elenco non esaustivo di misure tecniche ed organizzative che sono reputare adeguate:

  1. a) la pseudonimizzazione e la cifratura dei dati personali;
  2. b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

L’adesione a un codice di condotta (link al tema) o a un meccanismo di certificazione (link al tema) può essere utilizzata come elemento per dimostrare la conformità ai requisiti.

A completare il sistema delle misure di sicurezza, il legislatore europeo, in chiusura dell’art. 32, punta l’attenzione sul rischio umano: il titolare del trattamento e il responsabile del trattamento non si devono limitare ad applicare la normativa sulla sicurezza alla sola strumentazione – informatica in primis, ma anche fisica, si pensi agli armadi blindati – ma devono preoccuparsi di poter garantire che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso, salvo diversa previsione di legge.

Torna in alto