Secondo quanto previsto dall’art. 32 del Regolamento Generale sulla protezione dei dati (noto anche come GDPR – General Data Protection Regulation), il titolare e il responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio, devono adottare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Esiste un elenco di tali misure di sicurezza che il titolare o il responsabile del trattamento devono adottare?

Nell’art. 32 del GDPR è detto che le misure di sicurezza comprendono, tra le altre, se del caso:

a)  la pseudonimizzazione e la cifratura dei dati personali;

b)  la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)  la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)  una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Si tratta di una lista aperta e non esaustiva (si legge nella norma “tra le altre, se del caso”).

Ciò vuol dire, in concreto, che non è possibile ritenere sufficiente né necessaria l’adozione delle misure di sicurezza riportate all’interno dell’art. 32 del GDPR.

Spetta infatti al titolare e al responsabile del trattamento valutare, caso per caso, in rapporto ai rischi specificamente individuati, quali misure adottare.

E le misure minime previste dagli artt. 33 e seguenti del Codice privacy?

Password, antivirus, firewall e le ulteriori misure minime elencate negli artt. 34 e 35 del Codice privacy – rispettivamente, per i trattamenti effettuati con e senza strumenti elettronici – che tutti i titolari del trattamento, sotto la vigenza del Codice privacy, sono tenuti a rispettare, attenendosi alle istruzioni contenute nel Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B al D. Lgs. 196/2003)?

Tali misure di sicurezza minime devono continuare a essere adottate? Rimangono obbligatorie?

Come indicato anche dal Garante privacy nella Guida al Regolamento in materia di protezione dei dati personali, “non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza”.

Tuttavia – rileva il Garante – “facendo anche riferimento alle prescrizioni contenute, in particolare, nell’Allegato “B” al Codice, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni”.

In concreto allora, le misure minime di sicurezza non potranno continuare a essere considerate misure obbligatorie, ma è possibile ritenere che esse rappresentino il nucleo centrale minimo per garantire la sicurezza dei dati.

Spetta poi al titolare e al responsabile del trattamento, ai sensi dell’art. 32 del GDPR, analizzando specificamente i rischi legati al trattamento dei dati, valutare, oltre a questo nucleo, quali misure di sicurezza tecniche e organizzative adottare.

A al fine risulta utile lo strumento per la valutazione del rischio di sicurezza reso disponibile dall’ENISA.