Sicurezza del trattamento - Art. 32 GDPR

Le misure tecniche digitali non bastano se i locali sono fisicamente accessibili a chiunque. L’art. 32 GDPR richiede misure “adeguate” che comprendono anche la sicurezza fisica degli ambienti in cui avvengono i trattamenti.

Vanno valutati: sistemi di controllo accessi (badge, chiavi, codici); antintrusione e videosorveglianza; protezione di armadi, cassetti e stampanti contenenti documenti cartacei; segregazione delle aree in cui vengono trattati dati particolarmente sensibili (categorie particolari di dati, dati giudiziari). Anche i dispositivi fisici - server, NAS, hard disk - devono essere custoditi in ambienti protetti.

Le credenziali non devono mai essere condivise tra più utenti: ogni accesso deve essere ricondotto a una persona fisica specifica, anche ai fini della tracciabilità in caso di incidente. Una robusta password policy dovrebbe prevedere: lunghezza minima adeguata, complessità, cambio periodico, limite ai tentativi di accesso falliti e divieto di riutilizzo delle password precedenti.

L’autenticazione a più fattori (MFA) è raccomandata per tutti gli accessi ad aree critiche (server, sistemi con dati sensibili, accessi da remoto) e obbligatoria in diversi settori regolamentati. È inoltre essenziale prevedere la revoca immediata delle credenziali al termine del rapporto di lavoro o della collaborazione.

Il principio del minimo privilegio impone che ciascun utente acceda solo ai dati e alle funzioni strettamente necessarie per il proprio ruolo. Ciò significa classificare i dati trattati (ordinari / categorie particolari / giudiziari) e costruire profili di accesso coerenti con tale classificazione.

I profili devono essere rivisti almeno una volta l’anno per eliminare autorizzazioni non più necessarie o eccessive. Un rischio molto frequente è la persistenza di account attivi di ex dipendenti o collaboratori: è indispensabile una procedura di offboarding che preveda la disattivazione immediata di tutte le credenziali e la rimozione dei profili di autorizzazione al termine del rapporto.

Un sistema di access log consente di tracciare chi ha avuto accesso a quali dati e quando, rendendo possibile l’identificazione tempestiva di accessi anomali, tentativi di intrusione o violazioni interne. Senza log non è possibile rilevare né dimostrare un data breach, con conseguente impossibilità di adempiere all’obbligo di notifica all’autorità entro 72 ore (art. 33 GDPR).

Attenzione: il monitoraggio degli accessi dei dipendenti è soggetto ai limiti dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970). È obbligatorio informare preventivamente i dipendenti attraverso una policy sull’uso degli strumenti aziendali e, ove necessario, procedere all’accordo sindacale o all’autorizzazione dell’Ispettorato del Lavoro prima di attivare sistemi di controllo.

Le misure di protezione dei dispositivi rappresentano il perimetro digitale fondamentale di ogni organizzazione. L’art. 32 GDPR richiede di assicurare su base permanente riservatezza, integrità e disponibilità dei sistemi che trattano dati personali.

Le misure da valutare includono: antivirus e anti-malware costantemente aggiornati; firewall configurati e monitorati; installazione senza ritardo di patch critiche di sicurezza; screen lock automatico dopo inattività; backup regolari con verifica di integrità; cifratura dei dispositivi mobili e dei laptop (essenziale in caso di smarrimento o furto); utilizzo di protocolli sicuri (HTTPS/TLS) per i siti web e le applicazioni; gestione del consenso per interventi da remoto sulla postazione.

I dati in transito su reti non protette sono vulnerabili a intercettazioni (attacchi man-in-the-middle). L’utilizzo di protocolli sicuri è una misura fondamentale prevista dall’art. 32 GDPR. In particolare occorre assicurare: HTTPS/TLS su tutti i siti web e le API che trasmettono dati personali; VPN obbligatoria per qualsiasi accesso remoto alla rete aziendale; reti Wi-Fi protette con standard WPA2/WPA3 (le reti Wi-Fi pubbliche senza VPN non devono essere usate per trattare dati personali).

È buona pratica valutare preventivamente se il trasferimento di dati è effettivamente necessario: ridurre i flussi di dati riduce anche la superficie di rischio.

L’art. 32 par. 1 lett. a) GDPR cita esplicitamente pseudonimizzazione e cifratura tra le misure da valutare, pur non rendendole obbligatorie in ogni contesto. La scelta dipende dalla natura dei dati e dal livello di rischio.

La pseudonimizzazione sostituisce i dati identificativi con identificatori artificiali (hash, token, scrambling): l’interessato non è direttamente identificabile senza la chiave di abbinamento, che deve essere conservata separatamente e in modo sicuro. La cifratura (es. AES-256) rende i dati illeggibili senza chiave: è essenziale per i backup, i dispositivi mobili e qualsiasi supporto rimovibile. In caso di data breach, la cifratura può escludere l’obbligo di comunicazione agli interessati (art. 34 par. 3 lett. a) GDPR).

L’art. 25 GDPR impone la protezione dei dati fin dalla progettazione (privacy by design) e come impostazione predefinita (privacy by default). Ciò significa che i sistemi devono essere configurati, sin dall’inizio, in modo da trattare il minor numero possibile di dati necessari per raggiungere la finalità specifica.

L’art. 5 lett. c) GDPR sancisce il principio di minimizzazione: i dati raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario”. In pratica: rivedere periodicamente i formulari di raccolta dati; eliminare i campi non necessari; non raccogliere dati “per sicurezza” o in previsione di usi futuri non definiti; configurare le piattaforme di terzi con le impostazioni più restrittive disponibili.

L’art. 32 par. 4 GDPR precisa che chiunque agisca sotto l’autorità del Titolare o del Responsabile e abbia accesso a dati personali può trattarli solo su istruzione del Titolare. La formazione è lo strumento principale per garantire che tali istruzioni siano comprese e rispettate.

La formazione deve coprire: riconoscimento di phishing e social engineering; gestione sicura delle password; utilizzo corretto dei dispositivi aziendali; comportamenti da adottare in caso di incidente o data breach sospetto; normativa applicabile. La policy aziendale deve avere valore vincolante (accettazione formale), essere aggiornata almeno annualmente e le sessioni devono essere documentate a fini di accountability.

L’art. 28 GDPR impone la stipula di un Data Processing Agreement (DPA) con ogni responsabile del trattamento. Il DPA deve specificare le misure di sicurezza che il responsabile è tenuto ad adottare e deve definire le obbligazioni in caso di data breach, inclusa la notifica tempestiva al Titolare.

Devono essere presenti clausole che disciplinino: il perimetro di responsabilità di ciascuna parte; il diritto di audit da parte del Titolare; le modalità di cancellazione o restituzione dei dati al termine del contratto; le eventuali restrizioni alla sub-elaborazione. Con gli altri Titolari (es. condivisione di dati per finalità congiunte) è opportuno prevedere accordi di contitolarità che definiscano le rispettive misure di sicurezza (art. 26 GDPR).

Il principio di limitazione della conservazione (art. 5 lett. e) GDPR) impone che i dati siano conservati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità”. Una policy di retention deve definire i periodi di conservazione per ciascun trattamento e attivare la cancellazione automatica o procedurale alla scadenza.

Attenzione: la semplice eliminazione di un file non è una cancellazione sicura. I dati possono essere recuperati dai supporti di memorizzazione. Per i dispositivi dismessi (HDD, SSD, USB, smartphone) sono necessarie tecniche di sovrascrittura certificata o distruzione fisica. Per i documenti cartacei è indispensabile un trita-documenti a norma. I fornitori di smaltimento devono essere verificati e, ove necessario, nominati responsabili del trattamento.

L’art. 32 par. 1 lett. b) e c) GDPR richiede espressamente la capacità di assicurare la resilienza dei sistemi e di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico. Non è sufficiente eseguire backup: è necessario verificare regolarmente che il ripristino funzioni.

Un piano efficace prevede: backup regolari (giornalieri per i dati critici) con verifica di integrità; conservazione in luogo sicuro e separato (off-site o cloud cifrato); Disaster Recovery Plan documentato con obiettivi di RTO e RPO definiti; test periodici di ripristino (almeno annuali); Business Continuity Plan che garantisca la continuità operativa anche in caso di indisponibilità prolungata dei sistemi.

Gli artt. 40–42 GDPR prevedono su base volontaria l’adesione a codici di condotta approvati dalle autorità di controllo e l’ottenimento di certificazioni di protezione dei dati. Questi strumenti consentono di dimostrare la conformità alle prescrizioni del GDPR e possono essere valutati dal Garante come elemento attenuante in caso di procedimento sanzionatorio.

Allo stato attuale non risultano ancora approvati in Italia codici di condotta rilevanti in materia di sicurezza del trattamento. La certificazione ISO/IEC 27001 (sistemi di gestione della sicurezza delle informazioni) è tuttavia ampiamente riconosciuta come buona pratica e può costituire un elemento utile a dimostrare l’adeguatezza delle misure adottate. È opportuno monitorare gli sviluppi normativi e settoriali in questa materia.