Con il Regolamento UE 2016/679 GDPR (General Data Protection Regulation) l’Europa ha uniformato la disciplina del trattamento dei dati personali in tutti gli stati membri.
Tra i principi espressi nel regolamento, di particolare importanza è la sicurezza del trattamento dei dati personali. L’articolo 5, infatti, al punto f) stabilisce che il trattamento debba avvenire “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.
Ma, nella pratica, quali sono le misure da adottare per un trattamento dati sicuro? La risposta a queste domande è negli articoli 32, 33 e 34 del regolamento, dedicati proprio alla sicurezza dei dati personali.
L’articolo 32 riguarda le azioni che il titolare e il responsabile del trattamento (due delle figure principali introdotte dalla disciplina) devono compiere per mettere in sicurezza i dati personali del soggetto interessato al trattamento. Tali azioni non sono sempre le stesse, ma variano in base a diversi fattori.
Queste azioni devono essere compiute “tenendo conto – si legge nell’articolo 32 – dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Semplificando, i trattamenti di dati del titolare di una piccola bottega artigiana sono diversi da quelli di una banca o un’organizzazione sanitaria. Cambia la natura dei dati che vengono trattati e con essi cambiano anche i rischi che da tali trattamenti possano derivare. Quindi, cambiano anche le azioni di sicurezza necessarie per mitigare tali rischi.
Quali sono le azioni richieste dal GDPR per un trattamento dati sicuro
Il GDPR stabilisce che la messa in sicurezza dei dati oggetto di trattamento debba avvenire grazie a “misure tecniche e organizzative adeguate”. Queste devono essere adottate dal titolare e dal responsabile del trattamento “per garantire un livello di sicurezza adeguato al rischio”.
Tali misure comprendono:
a) la pseudonimizzazione e la cifratura dei dati personali. Con la pseudonimizzazione, i dati direttamente identificativi della persona (ad esempio, nome e cognome) vengono sostituiti da dati indirettamente identificativi (come alias o numero di classificazione). Pseudonimizzare non significa tuttavia rendere i dati anonimi. Si tratta infatti di un processo reversibile, che consente sempre di risalire alla persona cui i dati appartengono.
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Quali sono i rischi che bisogna valutare nel trattamento dei dati personali secondo il GDPR
I rischi di un trattamento di dati personali sono essenzialmente legati alla possibile distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Per dimostrare la conformità del trattamento dei dati, i titolari o responsabili del trattamento possono aderire a un codice di condotta o a un meccanismo di certificazione approvati dallo stato membro di appartenenza, come previsto dal GDPR.
Cosa bisogna fare in caso di violazione dei dati personali
In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente. La notifica deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. A meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dai motivi del ritardo.
Il responsabile del trattamento, invece, informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
La notifica all’autorità fatta dal titolare del trattamento deve almeno: a) descrivere la natura della violazione, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione; d) descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Il titolare del trattamento deve documentare qualsiasi violazione dei dati, comprese le circostanze a essa relative, le conseguenze e i provvedimenti adottati per porvi rimedio.
Come avviene la comunicazione della violazione dei dati personali al soggetto interessato
Il titolare del trattamento comunica la violazione all’interessato quando questa presenta un rischio elevato per i diritti e le libertà delle persone fisiche. La comunicazione avviene senza ingiustificato ritardo, descrivendo con un linguaggio semplice e chiaro la natura della violazione. L’interessato deve essere informato su nome e dati di contatto del responsabile della protezione dei dati o di altro contatto presso cui ottenere informazioni. L’interessato deve essere, inoltre, informato sulle probabili conseguenze della violazione e sulle misure adottate o di cui si propone l’adozione per porvi rimedio o attenuarne i possibili effetti negativi.
Quando non bisogna comunicare la violazione dei dati personali all’interessato
Non è richiesta la comunicazione all’interessato se è soddisfatta una delle seguenti condizioni:
- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Se il titolare del trattamento non ha ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere che vi provveda, dopo aver valutato la probabilità che la violazione presenti un rischio elevato. In alternativa, l’autorità può ritenere soddisfatta una delle tre condizioni in cui tale comunicazione non è richiesta.