Decreto legislativo - 18/05/2018 - n. 51 art. 25 - Sicurezza del trattamentoSicurezza del trattamento
1. Il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalita' del trattamento, nonche' del grado di rischio per i diritti e le liberta' delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati. 2. Per il trattamento automatizzato il titolare o il responsabile del trattamento, previa valutazione dei rischi, adottano misure volte a: a) vietare alle persone non autorizzate l'accesso alle attrezzature utilizzate per il trattamento («controllo dell'accesso alle attrezzature»); b) impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate («controllo dei supporti di dati»); c) impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione («controllo della conservazione»); d) impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell'utente»); e) garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione d'accesso («controllo dell'accesso ai dati»); f) garantire la possibilita' di individuare i soggetti ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati («controllo della trasmissione»); g) garantire la possibilita' di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, il momento della loro introduzione e la persona che l'ha effettuata («controllo dell'introduzione»); h) impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o il trasporto di supporti di dati («controllo del trasporto»); i) garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»); l) garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilita'») e che i dati personali conservati non possano essere falsati da un errore di funzionamento del sistema («integrita'»). InquadramentoConformemente a quanto disposto dall'art. 25 del d.lgs. n. 51/2018, il titolare del trattamento è tenuto ad avvalersi di un approccio di responsabilizzazione, o accountability, nell'assumere decisioni relative alla valutazione e all'implementazione di misure tecniche e organizzative. Tali disposizioni devono essere concepite e calibrate in modo da garantire un grado di sicurezza adeguato, teso ad evitare eventuali rischi di violazione dei dati personali, rispetto alle potenziali minacce che possono compromettere l'integrità, la riservatezza e la disponibilità di tali dati. Il legislatore, per tutelare il diritto fondamentale alla protezione dei dati personali, ha ritenuto di esplicitare, nel comma 2 dell'art. 25 del predetto Decreto, una serie di misure di sicurezza che devono essere necessariamente adottate dal titolare del trattamento. Tali misure sono dirette a governare e controllare l'accesso sia alle risorse fisiche, come i sistemi informatici e le infrastrutture di rete, sia alle risorse informative, rappresentate dai dati personali. Nell'ambito di tali misure troviamo quelle finalizzate a evitare che soggetti non autorizzati possano ottenere l'accesso alle attrezzature impiegate per il trattamento dei dati personali, compresi i sistemi di memorizzazione e trasmissione, nonché a garantire che i supporti dati non possano essere letti, copiati, modificati o rimossi da soggetti non autorizzati. Le misure prevedono altresì l'implementazione di meccanismi di controllo finalizzati a impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali memorizzati siano visionati, modificati o cancellati senza autorizzazione. Il controllo dell'accesso ai dati deve essere organizzato in modo da garantire che le persone autorizzate a utilizzare un sistema di trattamento automatizzato abbiano accesso soltanto ai dati personali cui si riferisce la loro autorizzazione d'accesso. Le misure di sicurezza adottate devono garantire inoltre l'integrità dei dati durante la loro trasmissione, evitando che possano essere letti, copiati, modificati o cancellati in modo non autorizzato, ed assicurare la possibilità di ripristino dei sistemi utilizzati in caso di interruzione del servizio. Il legislatore ha posto, infine, l'accento sulla necessità di garantire l'affidabilità dei sistemi di trattamento, prevedendo l'adozione di meccanismi di rilevamento e segnalazione degli errori di funzionamento e di misure volte a garantire che i dati personali conservati non possano essere alterati a seguito di un errore di funzionamento del sistema. È, dunque, evidente come l'art. 25 d.lgs. n. 51/2018 imponga al titolare del trattamento l'adozione di un insieme complesso e organico di misure di sicurezza, che mirano a proteggere i dati personali da possibili rischi, preservando così la riservatezza, l'integrità e la disponibilità degli stessi. Inoltre, tali misure assicurano che l'inserimento, il trasporto, la divulgazione e la conservazione dei dati avvenga in maniera protetta, garantendo l'integrità e l'affidabilità dei dati stessi, e rendendo sicuro il processo di recupero dei dati stessi in caso di perdita, in conformità con il principio di resilienza sancito dalla normativa in materia di protezione dei dati personali. Profili generaliL'art. 25, comma 2, del d.lgs. n. 51/2018, stabilisce che per il trattamento automatizzato dei dati personali, il titolare o il responsabile del trattamento, dopo un'accurata valutazione dei rischi, devono adottare misure appropriate. Queste misure, come esplicato in seguito, mirano alla tutela del diritto fondamentale alla protezione dei dati personali. Relativamente all'analisi dei rischi, ci si riferisce ai principi esposti nel commento dell'art. 32 del Regolamento Generale sulla Protezione dei Dati (GDPR), che si sofferma sulla necessità di garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte, dei costi di implementazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. L'elenco delle misure di sicurezza delineate nel comma 2 dell'art. 25 conferisce priorità a quanto stabilito nel punto a), ossia alla necessità di implementare strumenti che prevengano l'accesso non autorizzato alle attrezzature utilizzate per il trattamento dei dati personali, concetto espresso anche come “controllo dell'accesso alle attrezzature”. Tale disposizione può essere attuata mediante l'adozione di misure di sicurezza tecniche, fisiche e organizzative. È essenziale, per esempio, l'implementazione di metodi di autenticazione robusti che prevedano, tra le altre cose, l'uso di credenziali di accesso sicure, l'autenticazione a due fattori o altre tecniche avanzate, al fine di limitare l'accesso alle risorse informative solo a coloro che sono debitamente autorizzati. Analogamente, possono essere messe in atto misure fisiche per restringere l'accesso alle infrastrutture di rete e ai sistemi informatici che ospitano i dati personali, ad esempio attraverso la creazione di aree riservate all'interno delle strutture aziendali o l'adozione di sistemi di sicurezza fisica come telecamere di sorveglianza, serrature elettroniche e così via. Infine, dal punto di vista organizzativo, è fondamentale implementare un sistema efficace di gestione dei profili di autorizzazione, attraverso il quale definire e monitorare in maniera continua i diritti di accesso ai dati personali di ciascun soggetto coinvolto nel trattamento. Questo può includere, ad esempio, il mantenimento di un registro aggiornato delle autorizzazioni, la revisione periodica dei profili di accesso e la rimozione tempestiva delle autorizzazioni quando non sono più necessarie. Si rileva inoltre come l'art. 25, comma 2, lett. b) impone l'impedimento che i supporti di dati possano essere consultati, duplicati, alterati o asportati da individui non autorizzati. Tale prescrizione si traduce in un imperativo categorico di “controllo dei supporti di dati”. Questa direttiva deve essere interpretata come l'obbligo di implementare meccanismi di sicurezza relativi all'assegnazione di asset contenenti dati personali, con l'obiettivo di blindare le informazioni da accessi non autorizzati. Seguendo l'ordine delle disposizioni, la lettera c) dell'articolo 25, comma 2, enfatizza l'esigenza di evitare che i dati personali siano immessi senza autorizzazione e che le informazioni personali conservate siano ispezionate, modificati o cancellate senza permesso. Tale requisito, identificato come “controllo della conservazione”, è in armonia con i principi di minimo privilegio e bisogno di conoscere, espressi nell'art. 32 GDPR. La lettera d) dell'articolo 25, comma 2, sottolinea la necessità di impedire che individui non autorizzati utilizzino sistemi di trattamento automatizzato con strumenti per la trasmissione di dati, processo indicato come “controllo dell'utente”. Questo riferisce all'obbligo di delimitare efficacemente i profili degli operatori incaricati di trattare i dati personali. L'adempimento di tale finalità può essere perseguito sia anticipatamente, attraverso la delineazione precisa dei permessi, sia retrospettivamente, mediante una revisione periodica dei registri prodotti dall'interazione con le macchine deputate al trattamento. La lettera e) dell'articolo 25, comma 2, impone l'obbligo di garantire che gli operatori autorizzati ad utilizzare un sistema di trattamento automatizzato possano accedere esclusivamente ai dati personali cui si riferisce la loro autorizzazione di accesso. Questo processo, conosciuto come “controllo dell'accesso ai dati”, è una manifestazione concreta del principio del need to know. In pratica, questo principio implica che l'accesso ai dati personali deve essere limitato solo a quegli individui i cui ruoli richiedono necessariamente l'accesso a tali informazioni. Analogamente, la lettera f) dell'art. 25, comma 2, impone l'obbligo di consentire l'identificazione dei soggetti ai quali i dati personali siano stati o possano essere trasmessi o resi disponibili utilizzando strumenti per la trasmissione di dati. Tale requisito, denominato “controllo della trasmissione”, esige l'implementazione di misure di sicurezza tecniche e organizzative. Tali misure non si limitano ai soggetti che accedono e lavorano con i dati personali, ma si estendono anche a coloro che sono preposti a riceverli. Il rispetto di tale prescrizione può essere ottenuto mediante l'uso di meccanismi di identificazione e autenticazione adattiva, strumenti che consentono l'accesso alle informazioni solo a soggetti debitamente autorizzati. L'iter normativo, così come delineato dall'art. 25, comma 2, del d.lgs. n. 51/2018, prosegue con la lett. g) che introduce l'obbligo di disporre meccanismi di verifica e controllo a posteriori dei dati personali inseriti nei sistemi di trattamento automatizzato. In tale contesto, si intende non solamente l'identificazione dei dati oggetto di trattamento, ma anche l'individuazione del preciso istante temporale in cui tali dati sono stati inseriti e la persona che ha condotto l'operazione. Questo processo viene definito “controllo dell'introduzione”. Il quadro normativo così delineato richiama, per analogia, l'utilizzo di un sistema di operational intelligence che sia in grado di generare log di accesso e log operativi. Questi ultimi, in conformità con quanto stabilito dal Provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008 relativo agli Amministratori di Sistema, devono essere completi, inalterabili e suscettibili di verifica di integrità. Successivamente, la lettera h) dell'articolo 25, comma 2, esige che si impedisca che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o durante il trasporto di supporti di dati. Tale processo viene denominato “controllo del trasporto”. A tal fine, oltre a predisporre misure organizzative atte a perimetrare il processo di trasporto dei supporti contenenti dati personali, il titolare o il responsabile del trattamento dovrà utilizzare tecniche di crittografia sicure durante il transito dei dati. L'art. 32 del GDPR fornisce ulteriori approfondimenti relativi alle tecniche di crittografia in transito. Le LEAs, di conseguenza, agiscono come Argos Panoptes, che, con i suoi innumerevoli occhi, era in grado di vigilare su ogni angolo del suo dominio: una LEA che tratta dati personali deve essere in grado di monitorare, registrare e proteggere ogni aspetto del ciclo di vita dei dati, dall'introduzione al trasporto, per garantire la protezione dei dati dei soggetti interessati. La normativa continua con l'art. 25, comma 2, lett. i), che richiede che il titolare del trattamento garantisca la possibilità di ripristinare i sistemi in caso di interruzione. Questo processo, noto come “recupero”, implica l'implementazione di un sistema di backup e/o di un piano di disaster recovery, come illustrato più dettagliatamente nell'art. 32 del GDPR. Infine, l'applicazione della lett. l) dell'art. 25, comma 2, assicura che le funzioni del sistema siano operative e che eventuali errori di funzionamento siano segnalati (affidabilità). Inoltre, prevede che i dati personali conservati non possano essere alterati a causa di un malfunzionamento del sistema (integrità). Le misure di sicurezza da implementare per raggiungere la conformità a queste disposizioni normative saranno numerose. Ad esempio, per garantire un funzionamento costante del sistema, sarà necessario disporre di un sistema di business continuity e di un relativo business continuity plan. Oltre a ciò, dovrebbe essere presa in considerazione l'eventuale vulnerabilità delle applicazioni e dei sistemi attraverso cui i dati vengono trattati, al fine di evitare errori di funzionamento. Inoltre, sarà doveroso stabilire delle procedure che guidino gli operatori nella segnalazione delle anomalie. A parere dell'autore, l'ultima lettera del comma 2 dell'art. 25 del d.lgs. n. 51/2018 potrebbe essere soggetta a diverse interpretazioni. Questa ambiguità potrebbe essere interpretata come un riferimento implicito a principi notoriamente riconosciuti relativi alla sicurezza del trattamento. Questi principi dovrebbero fornire unicamente un percorso volto a creare una perimetrazione efficace che, in ogni caso, sia conforme al contesto individuato e ai processi effettivamente in atto. In altre parole, la norma richiede una flessibilità nella definizione delle misure di sicurezza, poiché queste dovranno essere calibrate in base alle specifiche esigenze del contesto in cui i dati personali vengono trattati. BibliografiaBolognini, Pelino, Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; Bolognini, Pelino, (a cura di), Codice della privacy. La disciplina europea e italiana in materia di protezione dei dati personali, Milano, 2019. |
