Il termine “accountability” è ricorrente nel GDPR e rappresenta uno dei principi fondanti del Regolamento. Infatti, in diversi articoli del Regolamento, in particolare nel 24 e nel 32, si fa riferimento al dovere del titolare dei trattamenti di adottare tutte le “misure tecniche e organizzative” che devono garantire la protezione e la tutela dei dati personali trattati. Il titolare dei trattamenti è la persona o l’entità giuridica che definisce le tipologie di dati da trattare e le loro finalità. Nel caso di “entità giuridica”, la responsabilità ricade automaticamente sul legale rappresentante, che può essere anche un direttore generale, in caso di ente pubblico, o un amministratore delegato.
Ricordiamo che le misure tecniche, raggruppate nella precedente normativa nell’ “Allegato B”, devono rispettare lo stato dell’arte della tecnologia e degli strumenti di comunicazione utilizzati. Aggiungo che va tenuto conto anche dello stato dell’arte delle minacce e dei rischi possibili. Nel 2003, anno di entrata in vigore del D.lgs. 196, non esisteva Facebook; non si sentiva parlare di Cryptolocker (una tipologia di ransomware che cripta i dati di un sistema e li rende nuovamente disponibili dietro il pagamento di un riscatto), anche se il primo ransomware fu scritto nel 1989; non esistevano le applicazioni e gli smartphone (almeno come li conosciamo oggi).
Un esempio di misura tecnica può essere l’impiego di un firewall collegato alla rete, un antivirus, un sistema di log management, l’aggiornamento del software, etc. Le misure organizzative, invece, sono tutto quell’insieme di regole (policy), disposizioni aziendali, processi, gestione dei consensi, formazione e buone pratiche che determinano il corretto trattamento dei dati in azienda.
Le caratteristiche essenziali di un dato sono: la riservatezza, la disponibilità, l’integrità. L’analisi dei rischi privacy, passaggio obbligato per un corretto GDPR assesment, deve determinare il livello di rischio rappresentato dalla perdita di una o più di queste tre caratteristiche. Le misure tecniche e organizzative, che il titolare dei trattamenti deve mettere in atto, devono essere tali da prevenire, nei limiti del possibile, qualsiasi minaccia ai dati trattati.
Tuttavia, nonostante le misure adottate, comportamenti errati o illeciti, piuttosto che nuove vulnerabilità (“zero date”) scoperte nei dispositivi informatici, il rischio di subire un data breach (violazione dei dati) è sempre possibile.
La normativa impone che l’incidente, se rappresenta un rischio per le libertà e i diritti fondamentali dei soggetti coinvolti, debba essere denunciato all’ufficio dell’Autorità Garante per la privacy entro 72 ore. Il titolare dei trattamenti potrebbe ritrovarsi “esposto” nei confronti di una probabile ispezione, non solo per l’autodenuncia dovuta al Garante, ma perché segnalato o denunciato da uno dei soggetti interessati titolari dei dati oggetto di violazione.
Che la violazione abbia avuto origine dal comportamento scorretto di un collaboratore, piuttosto che da un attacco informatico dall’esterno, la responsabilità ricade in ogni caso sul titolare dei trattamenti, che diventa passibile di sanzionamento e di risarcimento danni.
Daniele Umberto Spano – Ceo Kruzer
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI