Premessa
Ormai è noto che il panorama sociale in cui siamo inseriti offra e generi al minuto miliardi di trattamenti di dati personali, perciò il GDPR disciplina scrupolosamente il trattamento di essi.
La premessa alla disciplina giuridica degli stessi è data dall’articolo 25, titolato Obblighi di sicurezza: “1. Il titolare o il responsabile del trattamento dei dati personali assicurano l’adozione di misure di sicurezza preventive, individuate anche in relazione al progresso tecnologico, alla natura dei dati e alle caratteristiche del singolo trattamento, idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di cui all’articolo 3 ed a garantirne, nel contempo, un’agevole fruibilità. 2. Fermo restando quanto previsto dal comma 1, o da speciali disposizioni, il titolare o il responsabile del trattamento assicurano l’adozione delle misure minime di sicurezza previste dagli articoli 33, 34 e 35 del Codice e dal disciplinare tecnico di cui al relativo allegato B) con riferimento ai trattamenti automatizzati o non automatizzati di dati personali”.
Misure di sicurezza
In ossequio all’articolo 32 i dati personali oggetto di trattamento sono custoditi e controllati al fine di minimizzare il rischio da ridurre al minimo “di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” mediante misure preventive.
L’articolo 33, di conseguenza, disciplina le misure minime di sicurezza obbligatorie: “nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali”.
Mentre l’articolo 34, titolato “Trattamenti con strumenti elettronici”, quale oggetto del presente articolo, introduce il trattamento dei dati adottato mediante strumenti elettronici, il quale è consentito solo se sono adottate le seguenti misure minime:
- “autenticazione informatica;
- adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzazione di un sistema di autorizzazione;
- aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari”.
Il Titolare del Trattamento deve quindi dotarsi di specifiche e particolari misure che riguardano prevalentemente le modalità di accesso, al fine di poter controllare, in caso di uso illecito legato all’utilizzo del device, l’identità del soggetto agente o il responsabile dell’accesso non autorizzato. dall’esterno.
In particolare, le credenziali di autenticazione, che consento di effettuare il login, consistono nell’inserimento di un user-id ed una password, la quale dovrebbe essere nota esclusivamente dal possessore; oppure si annovera l’adozione di un dispositivo di autenticazione ad uso esclusivo dell’incaricato/autorizzato, che permette la firma elettronica, il quale possiede un codice identificativo o caratteristica biometrica di autenticazione.
I soggetti incaricati designati dal Titolare devono quindi attenersi alle prescrizioni fornite dallo stesso in merito all’adozione delle necessarie precauzioni al fine di garantire la segretezza della password e la corretta gestione degli strumenti aziendali in loro possesso.