Misure di sicurezza "esemplari"

 
L'art. 32 GDPR, è noto, descrive la sicurezza dei trattamenti tracciando le coordinate del risk-based-approach: è infatti necessario tenere conto di taluni parametri al fine della predisposizione di misure che possano contenere (rectius: trattare) i rischi per i diritti e le libertà delle persone fisiche.

Tali parametri possono essere rincoducibili, a colpo d'occhio, ad un rischio di tipo strategico (stato dell'arte), economico-finanziario (costi di attuazione) e operativo (natura, oggetto, contesto e finalità del trattamento), tenendo conto delle minacce che possano compromettere confidenzialità, integrità o disponibilità dei dati comunque trattati. Tale è dunque la regola prescrittiva contenuta nella norma, la quale si limita ad indicare l'adozione di un livello di sicurezza adeguato.

Le misure tecniche ed organizzative che successivamente elenca in modo esemplificativo, forte della premessa se del caso, sono da leggersi come indicazioni per un orientamento verso un approccio sistematico alla sicurezza.

Vero è che la pseudonimizzazione e la cifratura dei dati personali ad esempio sono misure tecniche idonee a trattare gran parte dei rischi di accesso abusivo, ma in taluni casi potrebbero essere eccessive (per i costi, o perché altrimenti producono il rischio di indisponibilità del dato in caso di archiviazione non sicura delle chiavi), o altrimenti insufficienti. Insomma: è da smentire la voce secondo cui "il GDPR impone la cifratura". Piuttosto, possiamo dire: "il GDPR indica la cifratura come una delle misure di sicurezza adottabili, se del caso".

Con riguardo alla capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, si tratta di un'indicazione generale, parimenti alla capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico, così come all'adozione di una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Ciascuno dei titolari e dei responsabili dovrà difatti declinare tali capacità e procedure nella propria realtà, adeguandole al contesto di riferimento (dell'organizzazione e dei trattamenti) perché possano essere sia efficaci (i.e. producano un risultato mettendo in sicurezza i trattamenti) che efficienti (i.e. siano attuabili con costi accettabili).

Essere GDPReady è...star sicuri con gli esempi!

Commenti