Sicurezza (Artt. 25 e 32 GDPR)

L’articolo 25 del Regolamento Europeo (nr. 679/2016) indica con dovizia di elementi quali siano le prescrizioni che ogni Titolare e ogni Responsabile del trattamento (esamineremo in una prossima uscita queste due figure, essenziali, del GDPR) devono conoscere e applicare ogni qualvolta gestiscano informazioni personali ossia, come abbiamo già visto, dati che si riferiscano a una persona identificata o identificabile.

La previsione e l’adozione di misure di sicurezza al fine di rendere il trattamento il più possibile conforme ai dettati normativi è uno degli elementi caratteristici di quello che abbiamo già visto essere un fondamentale obbligo introdotto dal GDPR: la responsabilizzazione.

Il GDPR impone dunque a Titolari e Responsabili del trattamento, tenuto conto dello stato dell’arte e dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento nonché dei rischi che esso potrebbe determinare per gli interessati in termini di probabilità e gravità diverse, di mettere in atto misure tecniche e organizzative adeguate al fine di garantire una generale sicurezza dei trattamenti.

L’adozione di tali misure è doverosa fin dal momento in cui si progetta e decide di effettuare un trattamento di dati personali. Deve, inoltre, essere garantito che siano trattati solo i dati personali strettamente necessari per ogni specifica finalità, in relazione alla quale siano stati raccolti e saranno in seguito utilizzati.

L’art. 32 specifica ulteriormente gli accorgimenti da seguire nei trattamenti e invita, anche in relazione allo stato dell’arte, ai costi necessari e al contesto nel quale essi avvengono:

• alla pseudonimizzazione e alla cifratura;
• ad assicurare in modo permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• ad assicurare, in caso di incidenti fisici o tecnici, il ripristino tempestivo dell’accesso ai dati personali,
• a individuare, testare e verificare procedure regolari per la valutazione dell’efficacia delle misure messe in atto.

Si tratta, in pratica, di tenere conto dei rischi che un trattamento può presentare in termini di possibile distruzione, perdita, modifica, divulgazione non autorizzata o di accesso, sia esso accidentale o illecito, a dati personali conservati, trasmessi o, più in generale, trattati.

Documentabilità

Tra le regole che stiamo esaminando, l’art. 5 del GDPR, al secondo comma, dispone espressamente che il Titolare del trattamento “è competente per il rispetto” dei principi applicabili al trattamento e, soprattutto, che deve essere “in grado di dimostrarlo”.

Chi tratta dati personali, pertanto, non solo deve dotarsi di strumenti e procedure, ma deve metterle in pratica nel concreto ed essere in grado di dimostrare gli interventi attuati.

Una delle principali conseguenze di tali disposizioni è quella per la quale chiunque agisca sotto l’autorità del Titolare o del Responsabile e abbia accesso ai dati di questi ultimi, lo faccia esclusivamente in quanto previamente autorizzato o designato (v. art. 32.4 GDPR e art. 2 quaterdecies D.Lgs. 196/2003 come mod. dal D.Lgs. 101/2018) e istruito in tal senso.

Al solito non è possibile, in questa sede, entrare minuziosamente nelle tante sfaccettature della normativa, ma è certamente possibile indicare a coloro che trattano dati, quantomeno, alcune buone prassi applicative, idonee a determinare un corretto e consapevole adeguamento anche per gli Amministratori di condominio, sia con riferimento ai dati trattati per il proprio Studio professionale, sia a quelli trattati in esecuzione degli incarichi ricevuti quali Amministratori dei singoli enti.

Alcune regole da seguire:

1. stabilire con precisione, per iscritto, con specifiche autorizzazioni e indicazioni operative, chi possa accedere ai dati trattati, per esempio, in Studio o in Condominio (la segretaria e i collaboratori nel primo caso, il portiere nel secondo);
2. specificare, sempre per iscritto, le regole da seguire nell’utilizzo degli strumenti informatici, facendo in modo che siano progettati e “settati”, per far ‘sì che le informazioni in essi contenuti non siano accessibili se non alle persone cui sono affidate (salvaschermo, logout, antivirus, antispam, firewall, ecc.) e che, in caso di inattività, si disconnettano o spengano automaticamente. Ancora, fornire precise indicazioni sull’utilizzo dei supporti esterni come chiavette usb e pendrive, peraltro generalmente da sconsigliare;
3. fornire regole precise in tema di controllo delle stampe dei documenti, soprattutto se effettuate con strumenti condivisi e stabilire il divieto di riutilizzo di quelli riciclati;
4. fornire regole dettagliate sull’utilizzo dei dispositivi portatili (personal, tablet, cellulari, device vari), soprattutto per la estrema facilità di smarrimento, furto, danneggiamento degli stessi, fornendo ulteriori regole in relazione a eventuali accadimenti possano riguardare tali strumenti (avvertire il Titolare entro un certo numero di ore);
5. imporre l’utilizzo di credenziali per gli accessi agli strumenti elettronici mediante idonei sistemi di autenticazione, non facilmente intuibili o recuperabili da estranei, prevedendo alcune regole anche in relazione alle modalità di conservazione delle password;
6. prevedere costanti sessioni di aggiornamento al fine di rendere consapevoli le persone che lavorano sui dati personali che questi ultimi sono dati delicati e, di conseguenza, instillare diffidenza ma anche attenzione nei confronti delle molteplici specie di tentativi di intrusione che provengono dall’esterno (email da sconosciuti, allegati non richiesti, chiarimenti non necessari, richieste varie da soggetti con cui non si hanno rapporti ovvero che “sembrano” essere conosciuti ma si tratta invece di tentativi di contatto malevolo, assai frequenti);
7. prevedere un costante aggiornamento in materia di sicurezza di ogni strumento utilizzato e fare copie di sicurezza delle informazioni, ovviamente da custodire in luoghi diversi dagli originali, sicuri;
8. Fare in modo che nell’attività quotidiana si percepisca l’ineludibile necessità di gestire, detenere e utilizzare le sole informazioni realmente necessarie, per perseguire la minimizzazione dei trattamenti.

La consapevolezza della delicatezza della materia è il primo passo verso una corretta responsabilizzazione, non solo quando trattiamo dati nella nostra attività lavorativa, ma anche quando agiamo in semplice veste di “interessati” del trattamento.

Per concludere, forniamo un link ad alcuni consigli utili del Garante italiano in materia di cybersecurity: https://www.garanteprivacy.it/temi/cybersecurity.

Alla prossima settimana.

Avv. Andrea Broglia