L’art 32 del GDPR prescrive che il titolare (ma anche il responsabile) del trattamento metta in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Resta solo da capire quali e che cosa si intenda quando si dice “adeguate”.
Con il termine misure tecniche s’intendono quelle misure che consentono di controllare e limitare l’accesso ai dati e di impedire la identificazione dell’interessato. Al contrario, con misure organizzative s’intendono le azioni e le iniziative predisposte dal titolare del trattamento per il rispetto dei principi privacy previsti dal GDPR (fonte: https://elearning.unipd.it/infodiritto/mod/book/view.php?id=728&chapterid=610).
L’art. 32 prevede anche una lista di queste misure. Tale lista, ovviamente, non è in nessun caso da ritenersi esaustiva quanto più indicativa delle azioni base da attuare (ovviamente in riferimento alla qualità e quantità dei dati in possesso).
Tra le misure previste dal citato articolo vi sono:
La pseudonimizzazione e la cifratura dei dati personali;
La capacità di assicurare in modo permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi del trattamento.
La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente;
Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.
La maggior parte di tali misure agiscono in ambito informatico, in quanto, al giorno d’oggi, non esiste (o meglio, quasi non esiste) trattamento svolto, anche in minima parte, senza l’ausilio di uno strumento informatico.
Da ciò deriva che le misure tecniche e organizzative in ambito informatico devono essere presenti unitamente.
In ogni caso, il Regolamento non obbliga il titolare o il responsabile ad adottare determinate misure, ma prevede che questi debbano svolgere un’analisi volta all’adozione di quelle misure che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”(art. 32 GDPR) siano idonee a garantire un livello di sicurezza che sia adeguato al rischio. Quindi, differentemente dal Dlgs 196/2003 che nell’Allegato B prevedeva una serie di misure che il titolare doveva adottare, oggi il livello di sicurezza è determinato dal titolare stesso (principio di accountability).
Le misure tecniche e organizzative: pseudonimizzazione e criptazione dei dati
I due termini non sono sinonimi, ma sono due tecniche diverse per rendere dei dati non comprensibili al lettore.
La pseudonimizzazione prevede che i dati non siano più attribuibili a una specifica persona senza conoscere il meccanismo di collegamento. In termini più semplici, con la pseudonimizzazione i dati personali vengono separati dal nome dell’interessato, di conseguenza potremmo conoscere il nome dell’interessato ma non gli altri dati a lui collegati, in tal modo chi non conosce la “chiave” per collegare i dati o chi non ha accesso al sistema non potrà avere una conoscenza completa.
La cifratura, al contrario, rende illeggibili i dati, li trasforma in una serie di numeri, lettere e simboli incomprensibili, salvo che si conosca la chiave di cifratura.
La differenza tra i due sistemi è che la pseudonimizzazione non prevede (di default) l’oscuramento dei dati, la cifratura invece si.
In ogni caso la pseudonimizzazione ha dei limiti: nel caso si riuscisse a entrare nel sistema, la lettura dei dati risulterebbe completa, di conseguenza è buona norma adottare entrambe le soluzioni, in modo che in caso di accesso illegittimo ci sia un doppio scudo a protezione dei dati.
Le misure tecniche e organizzative: alcuni esempi di pseudonimizzazione e criptazione dei dati
Un esempio di pseudonimizzazione potrebbe essere quello di separare il nome dell’interessato (es. Mario Rossi) dagli altri dati personali (data di nascita, residenza, numero di telefono e indirizzo e-mail), sostituendo la parte mancante con un codice (123456). In questo modo il titolare del trattamento potrà sempre prendere visione dei dati, in quanto conosce il sistema per recuperarli, ma un esterno che vede Mario Rossi 123456 avrà pochissime informazioni. Il limite di questa tecnica perviene nel momento in cui il soggetto esterno ottiene l’accesso al sistema, in quanto potrà avere accesso ai sistemi. Questo sistema potrebbe essere usato come metodo di archiviazione dei dati, da una parte l’elenco dei clienti e da un’altra parte (magari su un altro hard disk) tutti i dati dei clienti.
Un esempio di cifratura può essere quello che avviene tramite lo scambio di email criptate, i due interlocutori avranno piena conoscenza del contenuto del messaggio in quanto vengono scambiate, assieme al messaggio stesso, le chiavi di cifratura (pubblica e privata), in tal modo un eventuale terzo che si intromette nella comunicazione rubando una copia della mail non potrà conoscerne il contenuto in quanto non conosce la chiave di cifratura utilizzata.
Entrambe sono tecniche utili, anzi essenziali per una corretta gestione dei dati personali (e non solo), e risultano ancora più efficaci se usate insieme.