Ogni organizzazione che ha a che fare con la gestione e archiviazione di dati personali relativi a persone residenti nell’Unione Europea deve rispettare il cosiddetto GDPR. Questo Regolamento generale sulla protezione dei dati è utile a dare uno standard operativo in tutti i paesi dell’UE e a fornire un controllo più efficiente dei materiali sensibili.
Dal Codice della Privacy al GDPR
Il passaggio dalla precedente regolamentazione del codice della privacy al GDPR ha portato diversi cambiamenti. Primo fra tutti una maggiore importanza del titolare del trattamento. Il titolare, responsabile dell’attuazione delle misure di sicurezza per i dati personali, deve valutare oggettivamente l’entità dei rischi per i diritti dell’interessato.
Il titolare, con l’odierno GDPR, è tenuto a effettuare quindi una risk based analisi e attuare la più conveniente azione protettiva.
Da un approccio burocratico al GDPR
Se prima l’approccio alla gestione dei dati personali era un procedimento burocratico prefissato, che costringeva il titolare del trattamento a seguire delle misure ben precise, oggi l’approccio è più manageriale.
Il titolare si impegna secondo il GDPR a valutare i rischi e mettere in atto azioni adeguate all’entità di esso, determinando a seguito di una precisa analisi ogni misura tecnico-organizzativa necessaria.
Le misure per la protezione secondo il GDPR
Le azioni per la protezione dei dati devono essere inserite obbligatoriamente nel Registro delle Attività di Trattamento (art. 30, lett.g). Nel fare ciò, il titolare mette in campo il proprio potere decisionale, applicando l’analisi di diverse variabili prese in considerazione in fase di studio del caso.
Il GDPR non fornisce un elenco preciso delle misure da adottare, ma ne segnala alcune.
Fra queste, la cifratura dei dati, la possibilità di fornire una privacy stabile, l’integrità, la resilienza dei sistemi utilizzati, la velocità con la quale i sistemi posso ripristinarsi, e così via. Fra le misure suggerite vi è anche l’attuazione di test per verificare l’efficacia delle azioni preventive di sicurezza.
I rischi
Nel GDPR vengono anche riportati i rischi nel quale si può incorrere nella fuoriuscita di dati personali. Rischi tutti relativi al procedimento di trattamento di essi: divulgazione non autorizzata, perdita, distruzione, modifica, ed altri.
Queste possibilità vanno ad intaccare quelli che sono i tre punti chiave della sicurezza informatica: l’integrità, la disponibilità e la confidenzialità. Solo con il sostenimento di questi tre punti è possibile una corretta protezione dei dati.
I data breach, ovvero le violazioni dei dati, sono riconducibili a falle in uno di questi tre ambiti.
Cause dei data breach
Diverse possono essere le cause di danni relativi ai dati personali.
Il comportamento degli operatori può facilmente causare lo smarrimento dei dati o la distruzione di essi. È il titolare che deve constatare che il proprio personale lavori con consapevolezza, senza alcuna disattenzione, se non addirittura volontà fraudolente.
Anche gli strumenti informatici utilizzati hanno la propria importanza. Malware e virus possono causare data breach e accessi esterni da parte di malintenzionati. Le macchine messe al servizio delle procedure di privacy dovrebbero essere controllate periodicamente per non correre rischi di malfunzionamento, così come gli impianti elettrici e le connessioni.
La notificazione dei data breach
A seguito di una violazione il GDPR impone che si notifichi la stessa al Garante, si comunichi la situazione all’interessato e infine si istituisca un registro documentante il data breach, indicando al suo interno le circostanze in cui è avvenuto e le azioni risolutorie messe in atto.
Secondo l’articolo 33 del GDPR il titolare del trattamento deve necessariamente notificare il fatto entro le 72. La notifica però non è sempre obbligatoria, ma sempre soggetta al giudizio del titolare, così come la comunicazione all’interessato.