Quali sono le misure di protezione dei dati personali?

1. Cosa prevede il GDPR con riferimento alla protezione dei dati personali?

L’art. 32 GDPR stabilisce che il Titolare del trattamento e il Responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate al rischio, che comprendono, tra le altre, se del caso:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Non esistono misure minime per la protezione dei dati personali, tale valutazione sarà rimessa, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati.

2. Esistono delle linee guida per individuare le misure di protezione dei dati personali?

L’EDPB è il Comitato europeo per la protezione dei dati (EDPB) ed è un organismo europeo indipendente. È l’organizzazione sotto la cui guida si riuniscono le Autorità nazionali per la protezione dei dati personali dei paesi dello Spazio economico europeo, nonché il Garante europeo della protezione dei dati (EDPS).

L’EDPB garantisce che il Regolamento generale sulla protezione dei dati e la Direttiva “polizia e giustizia”  siano applicati in modo coerente.

Inoltre, l’EDPB garantisce la cooperazione, anche in materia di attuazione della normativa.

Il 18 gennaio 2024 l’EDPB ha pubblicato un documento con il quale ha illustrato le misure di sicurezza tecniche ed organizzative ex art. 32 del GDPR considerate, generalmente, adeguate dalle Autorità di Controllo. 

3. Quali sono le misure di protezione dei dati personali ritenute generalmente adeguate?

Ecco le misure di protezione dei dati personali considerate adeguate dall’EDPB:

• Implementare una procedura interna sulla sicurezza delle informazioni;
• Attuare una costante campagna di sensibilizzazione sul rischio del phishing; 
• Attuare una costante campagna di sensibilizzazione sulla gestione sicura della casella di posta elettronica; 
• Gestione continua del rischio di perdita della riservatezza, integrità o disponibilità delle informazioni, attraverso l’analisi sistematica delle misure di controllo implementate; 
• Applicazione della crittografia per il trattamento delle informazioni maggiormente sensibili; 
• Archiviazione criptata del back up; 
• Registrazione degli access (ed eventualmente, operation) log; 
• Implementazione dei meccanismi di controllo degli accessi; 
• Costante analisi dei sistemi e del traffico di rete; 
• Isolamento dei server e delle reti; 
• Blocco degli indirizzi IP sospetti, a seguito di uno o più tentativi di autenticazione falliti; 
• Autenticazione a più fattori (MFA) per il trattamento di informazioni sensibili; 
• Notifica via e-mail volta a informare l’utente di un tentativo di accesso non autorizzato; 
• Costante formazione in ambito privacy e cybersecurity; 
• Blocco dell’accesso a una casella di posta elettronica (o a un applicativo o similare), a seguito di un (pre) determinato numero di tentativi falliti; 
• Utilizzi di informazioni fittizie (o anonimizzate) per l’esecuzione di test
• Regolare attività di auditing in ambito privacy;  
• Complessità e robustezza delle password (mai da inviare in chiaro), ivi inclusa una politica di rinnovo.

4. Se il trattamento dei dati personali presenta rischi particolari, è necessario procedere prima con una DPIA

Se tratti dati personali nell’ambito della tua attività e non vuoi correre rischi, Prenota una consulenza e valuteremo le misure di protezione dei dati personali adatte alla tua attività.

avv. Gianfranco Leggio

(4 giugno 2024)