PRIVACY E TRASPARENZA

Principio di accountability (responsabilizzazione e obbligo di rendicontazione)

Misure tecniche e organizzative

Art. 32 reg. UE 2016/679

La sicurezza è un obiettivo primario del GDPR. Quindi, esso individua la necessità della costruzione di un sistema di sicurezza, formato da misure sia tecniche sia organizzative, che sia in grado di ridurre i rischi presentati dal trattamento. 

DEFINIZIONI

Per misure tecniche si devono intendere tutte quelle metodologie - soprattutto di tipo informatico - che consentono, mediante l'utilizzo di accorgimenti tecnici, di controllare e limitare l'accesso ai dati personali nonché di impedire la identificazione del soggetto interessato. 

Per misure organizzative si intendono, invece, tutte le azioni e le iniziative che predispongono il Titolare del trattamento e il Responsabile del trattamento al rispetto dei principi posti dal GDPR. 

SOGGETTI OBBLIGATI

Sono obbligati il Titolare del trattamento e il Responsabile del trattamento. È lo stesso art. 32 GDPR che pone l'obbligo di mettere in atto le misure tecniche e organizzative adeguate in capo ad entrambe le figure. 

LE MISURE

L'art. 32 riporta un elenco non esaustivo di misure di sicurezza. Tra le misure raccomandate vi sono:

  • la pseudonimizzazione e cifratura dei dati;
  • la capacità di assicurare permanentemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in casi di incidente;
  • una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure.

A differenza di quanto era previsto nell'allegato B al Codice Privacy, oggi non c'è più un elenco di misure di sicurezza da adottare al fine di garantire la protezione dei dati. Il GDPR ha, invece, sposato il c.d. principio della responsabilizzazione (accountability): viene lasciata rilevante discrezionalità al Titolare e al Responsabile del trattamento quanto alla valutazione dei rischi, prima, e alla adozione delle misure, poi. 

ESEMPI DI MISURE ADOTTABILI

Di tipo tecnico:

  • autenticazione degli utenti;
  • gestione delle autorizzazioni;
  • tracciamento degli accessi;
  • sicurezza delle postazioni fisiche di lavoro;
  • cifratura e pseudonimizzazione;
  • protezione dei locali fisici.

Di tipo organizzativo:

  • sensibilizzazione e formazione del personale;
  • istruzioni chiare e precise;
  • adozione di procedure standard; 
  • pianificazione di controlli interni periodici;
  • adesione a codice di condotta o meccanismi di certificazione.

→ Misure minime di sicurezza ICT per le pubbliche amministrazioni (Circolare AGID n.2/2017)

→ Criteri per la qualificazione di servizi SaaS per il Cloud della PA (Circolare n. 3 del 9 aprile 2018)

→ Linee guida su acquisizione e riuso di software per le P.A. (13/05/2019)

→ Tutte le linee guida AGID