GDPR – Articolo 32
Il GDPR (General Data Protection Regulation) altrimenti definito la “Nuova normativa europea sulla Privacy” si sviluppa in poco meno di 200 pagine.
200 pagine di diritti, doveri, obblighi, raccomandazioni, sanzioni e molto altro, ma si parla anche di misure tecniche da adottare per raggiungere la tanto agognata conformità.
Misure adeguate al rischio, misure che devono essere efficaci ed efficienti, misure per le quali il titolare (Azienda) deve farsi garante nei confronti dell’Autorità di Controllo, in particolare nei confronti dell’interessato (cittadino).
Delle 200 pagine del documento, al tema delle misure tecniche da adottare è dedicata una pagina e mezza, al netto delle considerazioni più o meno generali si riduce il tutto a ben 4, dico 4, punti talmente vaghi da includere potenzialmente tutto lo scibile sulla sicurezza informatica e anche di più.
I 4 punti
Vediamo quali sono questi famigerati 4 punti:
- La pseudonimizzazione e la cifratura dei dati personali;
- La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il Legislatore (Parlamento Europeo) ha voluto “facilitare” un po’ le cose istituendo il Principio dell’Accountability, secondo il quale la responsabilità di decidere cosa fare è in capo al titolare del trattamento.
Quindi addio misure minime chiare e definite, addio linee guida (anche se qualcosa è atteso e auspicato da parte del Garante), in poche parole addio a “qualcosa che mi dice chiaramente cosa devo fare”.
Non male come “facilitazione”.
L’Accountability prevede che il titolare del trattamento dei dati decida quali sono le misure adeguate da implementare, sia inoltre responsabile del loro corretto funzionamento oltre ad essere in grado di comprovarne l’efficacia quando richiesto.
Quindi qual è l’approccio corretto per affrontare questi aspetti, senza cadere nella trappola antieconomica dell’ipertrofia tecnologica, ma allo stesso tempo rispettando quel concetto di “adeguatezza” che permea tutto il Regolamento e ne è anche la chiave di lettura?
Probabilmente la riposta è: approccio basato sul rischio, il GDPR stesso suggerisce questa strada in diverse occasioni.
Cosa di intende con “approccio basato sul rischio”?
Semplicemente prima di ogni azione, di ogni decisione, di ogni investimento è utile ed opportuno valutare con attenzione qual è il rischio al quale potrebbero essere sottoposti i dati trattati (e quindi il soggetto interessato) rispetto al “valore” dei dati stessi, alla possibilità reale che la loro sicurezza venga compromessa, all’impegno che graverebbe sull’Azienda per la loro tutela e al livello di protezione in essere.
Solo ed esclusivamente quando questo quadro è stato ben definito, si intraprenderanno le azioni operative volte a raggiungere quel livello di adeguatezza che tutela il cittadino e soddisfa l’Autorità di Controllo.
Non è comunque un percorso banale, ma evita di muoversi alla cieca o farsi influenzare in maniera acritica dalla pletora di venditori che propongono unguenti miracolosi contro le “sanzioni da GDPR”.
Contattaci qui