L’avvento del Regolamento 679/2026 ha imposto al titolare del trattamento di adottare misure di sicurezza adeguate.
L’art 25, nello specifico, recita infatti che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Al secondo paragrafo, si precisa proprio che “ Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.”
Il concetto è poi ripreso anche dall’art. 32 GDPR, rubricato nello specifico “Sicurezza del trattamento” il quale precisa al primo comma che: “ Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Nello specifico, queste misure sono, a titolo esemplificativo:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
I principi che sottendono al tema sono diversi: dalla riservatezza-garanzia che l’accesso ai dati sia consentito solo ai soggetti legittimati, all’integrità -garanzia che la modifica dei dati venga effettuata solo da parte dei soggetti autorizzati; dalla disponibilità- garanzia che il sistema e i dati siano accessibili e utilizzabili con continuità, all’autenticità-garanzia che la fonte dei dati sia attendibile.
Le diverse tipologie delle misure di sicurezza possono inoltre essere suddivise in tre categorie.
Nello specifico, si possono annoverare le misure di tipo organizzativo (es. designazione dei responsabili e incaricati, formazione, linee guida); le misure di tipo fisico (es. ingressi controllati dei locali di custodia degli archivi e dei server); le misure di tipo logico (es. sistema di autenticazione e di autorizzazione, antivirus, firewall, cifratura dei dati).
A livello pratico, il soggetto autorizzato, nello svolgimento delle proprie mansioni lavorative, viene necessariamente a conoscenza dei dati personali detenuti dalla struttura in cui opera.
A titolo esemplificativo, il soggetto autorizzato al trattamento dei dati personali dovrà applicare misure di sicurezza quali:
- assicurarsi che la documentazione cartacea sia custodita negli armadi, mantenendoli chiusi durante le ore di lavoro e chiudendo gli armadi al termine della giornata di lavoro;
- conservare e custodire le chiavi di accesso agli archivi cartacei con la massima cura e non lasciarli incustoditi al fine di garantire che l’accesso all’archivio sia consentito solo ai soggetti autorizzati;
- garantire che sia sempre escluso l’accesso ai dati personali, soprattutto in caso di categorie particolari di dati (gli ex dati «sensibili»), a soggetti non autorizzati dal Titolare;
- verificare che sia svolta l’attività di vigilanza, per es. in occasione di un evento o di un corso di formazione, volta a prevenire l’accesso non autorizzato ai documenti ivi custoditi, in assenza del Titolare o di altro membro del personale;
- accertare che non sia lasciato incustodito il proprio posto di lavoro prima di aver provveduto alla messa in sicurezza dei dati; nessun PC sia lasciato acceso alla conclusione della giornata lavorativa;
- adottare un Regolamento interno sulle misure organizzative (ad. esempio in tema di utilizzo di internet o del PC avente ad oggetto una policy di protezione dei dati he preveda che le abbiano caratteristiche adeguate e non siano lasciate nella disponibilità di chiunque abbia accesso alle postazioni informatiche.