8/10 Ho predisposto le adeguate misure di sicurezza?

Il contenuto dell’articolo 32 è “centrale” perché parlare di sicurezza del dato nel contesto di una norma che ha per oggetto la protezione dei dati significa prendere in considerazione la ragione stessa dell’esistenza della norma. Adempiere a questa previsione significa rispondere al suo dettato.

Il vero problema è rappresentato dall’interpretazione del concetto di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

In primo luogo, si deve tenere presente come esso ricalca quanto già affermato nell’articolo 25, che tratta della protezione dei dati fin dalla progettazione. Il legislatore, poi, suggerisce una serie di indicazioni che ritiene utili per raggiungere l’obiettivo tra i quali la pseudonimizzazione e la cifratura dei dati personali, aggiungendo temi più generali come la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e quella di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Di fronte a questo approccio è facile restare spiazzati se non si ha una certa dimestichezza con tematiche di analisi e gestione del rischio. Tuttavia una ciambella di salvataggio arriva quando nel paragrafo dell’articolo 32 si legge come l’adesione a un codice di condotta o a un meccanismo di certificazione può essere utilizzata come elemento per dimostrare la conformità. Esistono, infatti, un certo numero di best practice in materia di sicurezza che possono fungere da guida per rispondere alle richieste del Regolamento.

Gli standard
In particolare, la Iso ha sviluppato la serie 27000 che costituisce ormai il riferimento internazionale. I due standard verso i quali rivolgere l’attenzione sono:

- la Iso/Iec 27001 Information security management systems - Requirements

- la Iso/Iec 27002 - Code of practice for information security controls.
La prima appartiene alla categoria delle norme per la quali è possibile sottoporsi a un percorso di verifica con un ente e al termine ottenere la relativa certificazione. Per intendersi è lo stesso iter attraverso il quale si ottiene la Iso 9001.

La seconda, la 27002, funziona come una guida per meglio comprendere i requisiti espressi dalla 27001.

Utilizzare questi standard come riferimento è un buon punto di partenza, proprio per il costante richiamo del Regolamento a delle certificazioni. La stessa Iso, infatti, ha annunciato la prossima pubblicazione di una nuova norma certificante, la Iso/IEC 27552 - Enhancement to Iso/Iec 27001 for privacy management, e ha già pubblicato la Iso/Iec 29151:2017 - Code of practice for personally identifiable information protection. Senza dubbio si tratta della candidatura più importante al richiamato meccanismo di certificazione.

© Riproduzione riservata