Privacy e Sicurezza Informatica: cosa prevede il GDPR
Privacy e sicurezza: misure minime di sicurezza privacy
Dall’ entrata in vigore del Regolamento UE 679/2016 (cosi detto GDPR) in data 25 maggio 2018, si evidenzia come lo stesso, costituisca la nuova fonte primaria di riferimento per la disciplina relativamente alla protezione dei dati personali.
Nella fattispecie, in materia di misure di sicurezza informatica, troviamo già i primi riferimenti nell’ art. 22 del GDPR. Nell’ art. 32 dello stesso, si trovano invece le linee guida che dettano il comportamento proattivo del Titolare nell’ attivare tutto è quanto necessario per ottenere un livello così detto adeguato in riferimento alle misure di sicurezza adottate.
Il tutto si può riassumere in:
Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate.
Protezione dati e sicurezza informatica: come definire le misure nel contesto pratico ed organizzativo?
Il Codice della Privacy Dlgs 196/03 è stato il primo documento nel cui allegato B, erano dettate le regole basi di partenza di quello che dovevano essere le misure minime da attuare all’ interno di una struttura informatica al fine di salvaguardare la tutela del dato. Si parlava per la prima volta di password complesse, di periodicità di aggiornamenti, di backup e di dispositivi di protezione perimetrale della rete, di policy aggiornate ad hoc ed altro ancora. Elementi che ponevano i pilastri di una concezione innovativa su cui implementare muove misure di sicurezza informatica.
Si definiva così un livello minimo e un livello idoneo di misure, differenziato anche da un diverso regime di responsabilità in caso di sua mancata adozione.
Da una parte infatti l’art.169, comma 1 del Codice della Privacy, ad oggi abrogato dal D.lgs n. 101/2018, stabiliva che in caso di mancata adozione delle misure minime di cui all’ art.33, il Titolare o il Responsabile potevano andare incontro ad una responsabilità di tipo penale. Dall’ altra, in caso di mancata adozione delle misure idonee si applicava invece l’art.15 comma1, facendo sorgere unicamente un obbligo risarcitorio ex art.2050 cc..
Per tracciare una linea di demarcazione, fra le misure minime e idonee, bisogna tener presente l’art 31 del Dlgs 196/03, dove, la categoria delle misure idonee e preventive, era costituita da tutte quelle misure da adottare in aggiunta a quelle specificamente minime previste dal Legislatore.
Le misure idonee dunque, potevano agevolmente individuarsi, seguendo i principi informatici alla base della Cyber security, laddove si disponeva che dovessero essere ridotti al minimo i rischi di distruzione o perdita dei dati.
Il nuovo Regolamento Europeo (GDPR), fornisce un quadro di regole più rigorose rispetto al Codice della Privacy e tiene conto delle più attuali problematiche e dei nuovi rischi portati dall’ evoluzione tecnologica.
Tra le novità maggiormente significative in tema di sicurezza si evidenzia il principio di Accountability, ovvero la responsabilizzazione del Titolare verso tutti gli adempimenti previsti dal GDPR al fine di attivare quanto gli è possibile in merito a contromisure di carattere tecnico, organizzativo, procedurale per la sicurezza e la tutela dei dati personali.
Ritornando sul tema Cyber security, le maggior novità nel GDPR si trovano all’ interno della sezione 2 ( artt. 32-34) intitolata “ Sicurezza dei dati personali”. E’ da notare come nell’ art 32 GDPR, pur elencando una serie di misure tecniche e di sicurezza, non si effettua una tipizzazione specifica delle stesse, come invece
precedentemente disposto dall’all. B del Dlgs 196/03. Si osservi poi, come con la nuova disciplina comunitaria scompaia del tutto la distinzione fra misure idonee e misure minime di sicurezza.
In conclusione, resta al Titolare del Trattamento il compito di analizzare all’ interno della propria struttura tutti gli aspetti relativi al trattamento dei dati personali e con l’aiuto di consulente ed esperti informatici, attivare le necessarie contromisure al fine di alzare quanto è più possibile il livello di sicurezza, attraverso delle metodologie che possano garantire la tutela del dato personale.
Solo così verrà rispettato il principio di Accountability (responsabilizzazione) necessario a dimostrare anche in caso ispettivo di essere Compliance (conformi) con quanto espresso nel GDPR.
Per una consulenza gratuita su GDPR Sicurezza per la tua azienda, contattaci.
