Il Codice della Privacy (D. Lgs. n. 196/2003), al Titolo V, “Sicurezza dei dati e dei sistemi” , artt. 31-36 si occupa della sicurezza delle informazioni.
Il considerando 39 del Regolamento Europeo 2016/679 precisa che “...I dati personali dovrebbero essere trattati in modo da garantire un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento”.
L’art. 32 del Regolamento Europeo richiamano i doveri del titolare del trattamento e del responsabile del trattamento i quali mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso (elenco quindi non tassativo):
la pseudonimizzazione e la cifratura dei dati personali;
La «pseudonimizzazione» è: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Art. 4, comma 1, punto 5, Reg. UE 216/679); la «pseudonimizzazione» non è un metodo di anonimizzazione, si limita a ridurre la potenziale correlazione fra un insieme di dati all’identità originaria di una persona interessata, si tratta di una misura incentivata dal Regolamento Europeo tale da essere considerata utile al soddisfacimento dei requisiti della privacy by design e privacy by default;
La «cifratura», grazie alla scienza della crittografica, è un processo informatico di codifica e protezione del messaggio, è una modalità di conversione del testo originale in una sequenza apparentemente casuale di lettere, numeri e segni speciali che solo la persona in possesso della corretta chiave di decifratura potrà riconvertire nel file di testo originale;
la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
per riservatezza si intende la capacità del titolare e del responsabile al trattamento di custodire i dati e renderli fruibili solo a coloro provvisti delle dovute autorizzazioni adottando le misure adeguate di accesso a chi non è autorizzato;
per integrità del dato si intende la capacità del titolare e del responsabile al trattamento, di garantire che l’informazione, contenuta all’interno di supporti digitali, cartacei non subiscano modifiche o cancellazioni a seguito di errori, di azioni volontarie, malfunzionamenti o danni dei sistemi tecnologici;
per disponibilità delle informazioni, si intende la capacità di rendere disponibile, per ciascun utente abilitato, le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti
per resilienza la capacità di affrontare positivamente, adattarsi alle condizioni d'uso e di resistere all'usura in modo da garantire la disponibilità dei servizi erogati.
la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
si intendono le procedure di disaster recovery cioè l'insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business per imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare attività;
una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
un chiaro riferimento alla pianificazione delle attività di Audit ad HOC.
Alle luce delle considerazioni sopra indicate sarà cura del Titolare/Responsabile del trattamento, sotto l’egida del Data Protection Officer, svolgere idonee e preventive valutazioni di impatto privacy per l'implementazione di adeguate misure di sicurezza.
Le valutazioni saranno documentate e contenere, ai sensi dell’art. 35, comma 7, lett. d) del Reg UE 2016/679, “le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.
Devono essere descritte nel registro delle attività di trattamento di cui all’art. 30 del Regolamento (art. 30 comma 1, lett. g).
Si può affermare che il Regolamento UE 2016/679, in tema di sicurezza, cambia radicalmente approccio rispetto al codice privacy; se il Codice Privacy indica i requisiti minimi del sistema di sicurezza (Allegato B al Codice Privacy) con il Regolamento Europeo sul titolare ricade la responsabilità dell’adozione di tutte le misure idonee per la protezione e sicurezza dei dati.
