Verificare sicurezza, adozione misure e aggiornamenti
Misure di sicurezza GDPR e controlli periodici sul rischio
Il GDPR richiede misure tecniche e organizzative adeguate al rischio e verifiche periodiche sulla loro efficacia. La sicurezza del trattamento comprende strumenti informatici, procedure interne, ruoli, controlli sugli accessi, formazione e capacità di reazione agli incidenti.
La verifica deve considerare riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi utilizzati per trattare dati personali. Rientra nel controllo anche la capacità di ripristinare tempestivamente disponibilità e accesso ai dati in caso di incidente fisico o tecnico.
Misure tecniche e organizzative
Le misure di sicurezza devono essere calibrate su natura, oggetto, contesto, finalità del trattamento e rischio per i diritti e le libertà delle persone fisiche. In base ai casi, possono includere cifratura, pseudonimizzazione, autenticazione forte, controllo degli accessi, backup, aggiornamenti software, segregazione dei ruoli, logging, protezione degli endpoint, istruzioni interne e formazione del personale.
Verifica periodica delle misure adottate
L’organizzazione deve prevedere una procedura per testare, verificare e valutare regolarmente le misure adottate. I controlli possono riguardare configurazioni, autorizzazioni, sistemi di backup, tempi di ripristino, vulnerabilità tecniche, uso degli strumenti aziendali e rispetto delle istruzioni da parte del personale autorizzato.
Analisi dei rischi del trattamento
La valutazione parte dai rischi reali del trattamento: accessi non autorizzati, perdita dei dati, alterazioni, cancellazioni accidentali, indisponibilità dei sistemi, errori umani, uso improprio delle credenziali, esposizione tramite fornitori o piattaforme cloud e attacchi ransomware.
Quando emergono nuove minacce, nuovi strumenti o modifiche nei processi, le misure adottate vanno riesaminate. L’articolo 32 del GDPR collega la sicurezza allo stato dell’arte, ai costi di attuazione, alla natura del trattamento e alla gravità del rischio per le persone.
Test di risposta agli incidenti
La verifica deve includere anche la capacità di reagire a un incidente. Conviene testare procedure di data breach, ruoli interni, canali di escalation, tempi di valutazione, ripristino dei backup, comunicazioni con fornitori e documentazione delle decisioni adottate.
Report, correzioni e ruolo del DPO
Ogni controllo dovrebbe produrre una traccia documentale con verifiche svolte, criticità rilevate, misure correttive, responsabili dell’intervento e tempi di completamento. Questa documentazione consente di dimostrare l’applicazione del principio di responsabilizzazione e di aggiornare le misure quando quelle esistenti risultano superate.
Il DPO, quando presente, può essere coinvolto nelle verifiche e fornire consulenza sul rispetto del GDPR. La responsabilità di adottare e mantenere misure adeguate è in capo al titolare o al responsabile del trattamento, ciascuno per le attività di propria competenza.