GDPR e principio di accountability. Quali misure adottare per la corretta gestione dei dati?

Il Regolamento Europeo in materia di protezione dei dati personali contribuisce a fissare regole e principi utili ad incrementare la nostra sicurezza al di là delle esigenze relative alla privacy.

Quando pensiamo alle novità del Regolamento Europeo in materia di protezione dei dati personali (il c.d. GDPR) pensiamo subito al concetto di “sicurezza del trattamento dei dati“. Questa nozione deve essere analizzata alla luce del nuovo principio di “responsabilizzazione” (nella versione anglosassone principio di accountability) che si traduce, tra l’altro, nell’adozione di misure tecniche e modelli organizzativi atti a garantire la corretta gestione e conservazione dei dati.

In questo contesto i titolari e responsabili del trattamento dei dati sono chiamati, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche“, ad adottare misure che siano adeguate rispetto ai rischi che comporta il trattamento dei dati personali. L’adeguatezza deve essere quindi valutata nel concreto e può comprendere, tra le altre, tecniche di pseudonimizzazione o anonimizzazione dei dati personali.

La pseudonimizzazione è una misura di sicurezza che permette di ridurre la possibilità di collegare dati personali ad uno specifico individuo. Tale procedura consente di conservare i dati personali senza che gli stessi siano immediatamente riconducibili al singolo, identificabile “solo” indirettamente per il tramite di informazioni aggiuntive. Queste, a loro volta, devono essere conservate separatamente e soggette a specifiche misure di tutela.

Le tecniche di pseudonimizzazione sviluppate negli anni sono molteplici. Alcuni esempi sono stati da tempo segnalati dai Garanti per la Privacy, e comprendono, tra altre, tecniche di crittografia e cifratura. Queste, menzionate nel GDPR come strumenti volti a mitigare i rischi connessi al trattamento, non possono tuttavia intendersi quale metodi di anonimizzazione dei dati. Se infatti l’anonimizzazione consente la cancellazione, in modo irreversibile, di ogni elemento dal dato personale che consente l’identificazione dell’interessato, la pseudonimizzazione continua a permettere una identificazione dell’individuo, anche se indirettamente.

In entrambi i casi l’obiettivo è tuttavia il medesimo: garantire la protezione del dato anche da eventuali “data breach“. I data breach sono comunemente associati ad accessi abusivi ai sistemi informatici, ma il GDPR allarga la definizione fino a comprendere anche la mancata disponibilità – anche solo temporanea – dei dati personali (come potrebbe avvenire quale conseguenza ad esempio di un ransomware o la semplice perdita di documenti in formato elettronico o cartaceo di cui non sia stata fatta una copia di back-up).

Ne deriva che oltre alle citate misure di sicurezza il titolare del trattamento deve garantire la resilienza dei propri sistemi, ovvero la capacità di recuperare lo status quo precedente all’evento di data breach.

Come si vede, il, nuovo Regolamento contribuisce a fissare regole e principi utili ad incrementare la nostra sicurezza anche al di là delle esigenze relative alla privacy, imponendo l’adozione di misure e tecnologie capaci di traghettarci verso un futuro in cui non solo i nostri dati, ma anche noi, saremo più tutelati.

Fonte: Corriere.it | di Giulia Zappaterra

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL