Chi tratta dati personali è tenuto ad adottare specifiche misure minime di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali.
Quali in concreto?
Nel caso in cui il trattamento dei dati venga effettuato tramite strumenti elettronici, il titolare dovrà adottare, secondo quanto prescritto dall’art. 34 del Codice Privacy e dalle specifiche contenute nel Disciplinare tecnico in materia di misure minime di sicurezza contenuto nell’allegato B al Codice, le seguenti misure:
- Procedura di autenticazione informatica ad un dispositivo o sistema informatico
Occorre prevedere un sistema di autenticazione che consenta di identificare il soggetto che deve effettuare l’accesso al dispositivo o sistema informatico.
L’autenticazione può essere effettuata con varie modalità, come ad esempio mediante username e password o attraverso l’utilizzo di dispositivi biometrici o ulteriori strumenti (quali smart card o token).
- Procedure di gestione delle credenziali
Occorre adottare procedure che garantiscano un livello minimo di complessità nella scelta della parola chiave nel caso utilizzata dai sistemi, la segretezza nella sua custodia, la sua modifica periodica – al primo accesso e poi almeno ogni tre o sei mesi, a seconda della natura dei dati oggetto di trattamento – la disattivazione delle credenziali non utilizzate per un certo periodo e di quelle associate a utenze non più autorizzate ad accedere ai sistemi.
- Utilizzazione di un sistema di autorizzazione
Occorre individuare e configurare profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
- Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici.
Occorre verificare periodicamente, e comunque almeno annualmente, la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
- Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici.
Occorre attivare idonei strumenti elettronici per garantire i dati personali contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale e procedere al loro aggiornamento almeno ogni sei mesi.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti devono essere effettuati almeno annualmente e, in caso di trattamento di dati sensibili o giudiziari almeno ogni sei mesi.
- Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
Devono essere impostate soluzioni organizzative e tecniche in modo tale da garantire il salvataggio dei dati con frequenza almeno settimanale.
- Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Infine, per completezza, occorre rilevare che anche il trattamento dei dati tramite strumenti diversi da quelli elettronici deve avvenire nel rispetto delle misure minime di sicurezza espressamente indicate nell’art. 35 del Codice Privacy:
- aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative
- previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
- previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
Adozione misure minime di sicurezza avvalendosi di soggetti terzi
Il punto 25 dell’allegato B prevede che il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico.
Si tratta di un aspetto spesso tralasciato ma che riveste invece notevole rilievo.
Sono infatti molteplici le situazioni in cui una società si avvale di un soggetto esterno in relazione all’adozione delle misure di sicurezza: si pensi ai servizi di assistenza e manutenzione informatica che possono comprendere varie attività che impattano in materia di sicurezza – installazione e aggiornamento di sistemi antivirus, gestione backup… – ma si pensi anche alla realizzazione di piattaforme ed applicativi, web e mobile, che prevedono la gestione di aree ad accesso riservato.
In tutti questi casi, è vero che gli obblighi di sicurezza incombono in capo alla società, ma il soggetto esterno, che effettua interventi in ordine alle misure di sicurezza che il titolare è tenuto ad osservare, deve rispettare quanto prescritto dall’attuale normativa di settore e rilasciare apposita dichiarazione in cui attesti la conformità dell’intervento.
Non solo misure minime
Le misure minime di sicurezza garantiscono una soglia minima di protezione ma la loro adozione potrebbe non essere sufficiente.
E ciò sia in base ad una valutazione effettuata a monte dal legislatore, che impone infatti l’adozione di ulteriori misure in relazione ad alcune attività particolari (così, ad esempio, per la fornitura di servizi di comunicazione elettronica accessibili al pubblico), sia in relazione ad una valutazione che deve essere effettuata dallo stesso titolare, tenuto, in base al generale obbligo di sicurezza previsto dall’art. 31 del Codice Privacy, a custodire e controllare i dati e ad attivarsi per ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
A differenza delle misure minime di sicurezza – la cui adozione è obbligatoria – l’adozione delle generali misure di sicurezza è rimessa alla valutazione del titolare, tenuto a verificare (anche attraverso attività di audit o penetration test), l’idoneità delle misure adottate, in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento e alle conoscenze acquisite in base al progresso tecnico.
Quali sono le conseguenze nel caso di mancata adozione delle misure di sicurezza?
Fermi restando i danni patrimoniali e di immagine che potrebbero derivare da accessi non autorizzati per mancata adozione delle misure di sicurezza, minime e idonee, il codice privacy distingue le conseguenze che derivano dall’omissione delle misure di sicurezza minime da quelle legate alla mancata adozione delle misure idonee.
Infatti, mentre l’omissione delle misure minime di sicurezza è punita sia a livello penale (cfr. art. 169 del codice privacy) che amministrativo (cfr. art. 162 comma 2bis), l’inosservanza delle misure idonee determina una responsabilità civile di tipo risarcitorio.
La responsabilità per la mancata adozione delle misure di sicurezza è in capo al titolare del trattamento, cui competono, per espressa definizione codicistica, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compresi il profilo della sicurezza (cfr. art. 4 lett. f) del Codice privacy); tuttavia è possibile anche individuare una responsabilità in capo agli incaricati e ai soggetti eventualmente designati quali responsabili nel caso in cui siano a questi ascrivibili azioni o omissioni che contrastino con le istruzioni fornite dal Titolare ed incidano sulla sicurezza dei dati.
Aggiornamento del 10 Marzo 2018
Per quanto riguarda il tema delle misure di sicurezza in relazione al Regolamento Generale sulla protezione dei dati, che troverà applicazione dal 25 Maggio 2018, si rinvia ad altro mio articolo.