Quali misure è obbligatorio adottare per proteggere un database di anagrafiche?

Quando qualcuno ti dice che non ritiene sia un problema che le password degli iscritti al proprio sito non siano criptate allora c’è un problema, anche perché -tra l’altro- la risposta alla domanda «perché dovremmo criptare?» non è un semplice «perché così ordina l’articolo tal dei tali!»…

Dalle “misure minime” alla “accountability”

La lontana legge 675 del 1996 aveva l’articolo 15, che prevedeva l’esistenza di misure minime di sicurezza per la protezione dei dati individuate con regolamento emanato con decreto del Presidente della Repubblica.  Le misure minime non esistono più: con l’avvento del GDPR, il panorama della protezione dei dati è sostanzialmente cambiato.

Il GDPR ha portato la protezione della privacy nell’ottica dei sistemi di gestione: norme che definiscono obiettivi il cui raggiungimento è valutato ex post dalle autorità di controllo e rispetto alle quali il destinatario delle norme ha una grande libertà e responsabilità nel decidere se e quanto si debba impegnare in questa attività di protezione e con quali strumenti.

È il principio dell’accountability, che al di là delle traduzioni eleganti vuol dire “fai quel che vuoi, ma sappi che ne renderai conto”: spetta al titolare del trattamento dei dati progettare il proprio sistema di trattamento, facendo in modo che i dati raccolti e trattati siano il meno possibile, che la loro comunicazione/diffusione sia il più limitata possibile, che il trattamento risponda a requisiti di legittimità (le basi giuridiche) che sia svolto in maniera legittima, che i rischi del trattamento siano valutati, che siano adottate le misure necessarie e adeguate, che tutto sia controllato nel tempo, che infine, se qualcosa va male il garante nazionale della privacy e le persone coinvolte siano informate.

La responsabilità generale del titolare del trattamento

A conferma di quanto sopra, il “considerando” 74 (i “considerando” sono una sorta di parte di principio della norma) indica che

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Valutazione dei rischi e misure adeguate

In applicazione del “considerando” 74, l’articolo 5 indica che

I dati personali sono

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

 

Se poi leggiamo il “considerando” 83, troviamo che

Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Il ruolo di cifratura e pseudonimi

L’articolo 6 prevede le misure di protezione della cifratura o della pseudonimizzazione come elemento di liceità del trattamento, nel caso previsto dal 4° comma, quelli dei trattamenti “per finalità compatibili”.

L’articolo 32, direttamente collegato al “considerando” riporta la scelta del titolare circa le misure di sicurezza al principio di responsabilità/accountability: 83

Articolo 32

Sicurezza del trattamento (C83)

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…

È il titolare che fa una valutazione globale dei rischi e pone sull’altro piatto della bilancia gli strumenti di protezione e i loro costi/praticabilità.

Il primo comma dell’articolo 32 continua spiegando che questi mezzi

che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

Ricadute dell’adozione della cifratura sulla responsabilità

Non è un caso se pseudonimizzazione e cifratura sono al primo posto: il GDPR si applica solo ai dati personali, nella definizione dell’articolo 4:

Ai fini del presente regolamento s’intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)

E il “considerando” 26 chiarisce bene l’articolo 4

I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.

Questo è importante in caso di violazione dei dati:

Articolo 33

Notifica di una violazione dei dati personali all’autorità di controllo. (C85, C87, C88)

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche…

 

Articolo 34

Comunicazione di una violazione dei dati personali all’interessato (C86-C88)

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

(MA)

Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

 

Insomma: nella tradizione dei sistemi di gestione, il GDPR “premia” le condotte proattive, in questo caso offrendo un modo per eludere molte seccature: se un database cifrato viene violato, e se la cifratura risponde allo stato dell’arte ed è quindi efficace, non ci sarà bisogno di notificare la violazione dei dati al garante e non si affronterà il rischio di provvedimenti sanzionatori, che possono essere in astratto molto pesanti.

 

Quale valutazione del rischio deve condurre il titolare?

Nell’ottica dell’accountability è il titolare a dover valutare se ci sono dei rischi:

• rischi di violazione

va ricordato che nel concetto di “violazione” non c’è solo l’hacker, ma anche il database inoltrato a un collega contenente più dati di quelli che il collega è autorizzato a conoscere, oppure i cui dati siano stati casualmente accessibili (computer aperto con dati visibili), il portatile perso da qualche parte e con l’hard disk non cifrato…

• rischi per i diritti delle persone dei cui dati si tratta derivabili dalla violazione dei dati.

È la seconda valutazione a essere critica, perché richiede una visione che va oltre le finalità del database.  I dati che abbiamo raccolto come possono essere usati?

 

Articolo 32

Sicurezza del trattamento (C83)

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

 

Quali rischi per le persone?

Un database anagrafico può essere usato per molte cose: i dati contenuti possono incrociati con altri database per ricostruire profili personali e accedere a informazioni anche sensibili attraverso intermediari disinvolti, un semplice codice fiscale basta per ottenere dati coerenti con i quali operare online…

In quest’ottica, la possibilità di associare uno username a una password “in chiaro” travolge ogni misura tecnica: anche se server e dati possono essere sono protetti, i dati sono esposti quotidianamente ad accesso, nel caso in cui da questa situazione di “accessibilità” derivasse una violazione dei dati la responsabilità sarebbe inevitabile.

Per i rischi che il trattamento di dati di servizi online presenta, la protezione dei dati è necessariamente sia organizzativa sia tecnica, in particolare la cifratura dei dati nel database è funzionale ad assicurare l’adeguatezza della protezione anche nei casi di violazione dei dati nell’ottica dell’obiettivo fissato dall’articolo del GDPR.

 

immagine di copertina: by Pete ?