Qual è la soglia minima di sicurezza informatica al di sotto della quale siamo a rischio sanzioni? Andiamo a fare un po’ di chiarezza.  

A differenza del vecchio e, in gran parte, abrogato Codice Privacy, il GDPR poco o nulla ci dice circa le misure di sicurezza da implementare per rendere ragionevolmente sicuro il trattamento dei dati personali. Vediamo da dove partire per stilare un primo elenco. 

Il punto di partenza 

Come in parte anticipato nel precedente post sulle Startup e la Privacy – se non l’hai letto lo trovi qui “Startup e privacy: che fare?” – il consiglio è di partire guardando al passato, ovvero alle misure minime elencate nel vecchio (e abrogato) Allegato B del Codice Privacy, ancora accessibile qui, in cui si parla di sane ovvietà quali: password sicure, firewall, patch di sicurezza, etc.  

Le nuove misure minime di sicurezza 

Di seguito le misure di sicurezza imprescindibili, lo zoccolo duro della sicurezza su cui possiamo iniziare a costruire l’architettura del sistema informatico aziendale: 

  • Il sistema di autenticazioneovvero, tipicamente, username e password. Attenzione: lo username deve essere associato univocamente alla persona autorizzata al trattamento e la password deve avere specifiche caratteristiche di sicurezza (la c.d. robustezzaquali una lunghezza di almeno otto caratteri, l’obbligo di modifica almeno ogni tre mesi, l’obbligo di inserimento di uno o più segni di punteggiatura, etc. 

  • La disattivazione automatica delle credenziali che non vengono utilizzate almeno ogni sei mesi; 

  • Il sistema di autorizzazione: a differenza del sistema di autenticazione che permette l’accesso al device, il sistema di autorizzazione permette l’acceso a determinati dati e non ad altri, ovvero consente di trattare i soli dati personali necessari allo svolgimento della specifica mansione assegnata; 

  • Antivirus aggiornato; 

  • Firewall correttamente configurato; 

  • Sistema operativo aggiornato (e aggiornabile, ergo: non possiamo più utilizzare sistemi operativi per i quali non siano più rilasciate patch di sicurezza); 

  • Backup dei dati almeno ogni 24 ore e prove periodiche di ripristino;  

  • Screensaver con password al ripristino (con attivazione automatica in pochi minuti); 

  • Tracciamento degli accessi e delle operazioni effettuate dagli Amministratori di sistema. 

Le altre misure “adeguate” 

Tutto il resto viene liberamente deciso dal Titolare o Responsabile del trattamento sulla base dei rischi relativi ai trattamenti di dati personali. Così l’art. 32 GDPR: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (…)”. 

Quindi, implementate per bene le misure minime di cui sopra, vediamo di decidere se è il caso di applicare anche: 

  • La pseudonimizzazione dei dati personali: tecnica che consiste nel trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive; 

  • La cifratura dei dati personali: processo che rende un determinato dato incomprensibile, al fine di garantire la sua confidenzialità. I concetti alla base di questo processo sono l’informazione da proteggere, l’algoritmo di cifratura, il crittogramma (cypher-text) e un valore segreto definito chiave (key); 

  • L’MDM (Mobile Device Management): strumento utilizzato per l’amministrazione dei dispositivi mobili, come smartphone, tablet e laptop; 

  • Un sistema di cloud storage con sincronizzazione automatica dei dati conservati sui device; 

  • Blocco porte USBper impedire la lettura, scrittura e copia dei dati da un computer ad un altro o l’ingresso di virus nel sistema informatico aziendale; 

  • Vulnerability assessmentprocesso che consente di scoprire se la nostra azienda o il sito Web presentino vulnerabilità che potrebbero mettere a rischio attacco informatico il prezioso patrimonio informativo. 

Basta così? 

Non proprio. Ricordiamoci che l’anello debole è sempre il fattore umano. Pertanto: formazione, formazione e, poi, ancora formazione!  

In conclusione

Certamente la sicurezza informatica poggia su quanto sopra riportato ai sensi dell’art. 32 del GDPR, ovvero il principio di accountability: “Cara Azienda, effettua una mappatura di tutti i trattamenti e valutati i rischi a cui tali trattamenti espongono gli Interessati, decidi che misure di sicurezza adottare per proteggere in maniera adeguata i dati personali”. Ma, al netto di tutte le considerazioni che devono, in ogni caso, reggere ad un’ispezione da parte della Guardia di Finanza o dell’Autorità Garante, sia ben chiaro che un livello minimo imprescindibile di sicurezza, al di sotto del quale nemmeno chi tratta solo numeri di telefono dei fornitori può collocarsi, esiste ed è elencato sopra in “Le nuove misure minime di sicurezza”.