Il GDPR spiega cosa vuol dire “mettere in sicurezza”: significa garantire la riservatezza, l’integrità, la disponibilità e la resilienza del sistema che realizza il trattamento (e nel sistema, bisogna includere anche gli elementi non tecnici, come le risorse umane). Questo requisito non è comunque assoluto. La scelta del livello di misure di sicurezza da mettere in atto parte dall’analisi dei rischi: per rischi più alti, il livello delle misure di sicurezza deve essere più alto, mentre per rischi bassi, è possibile limitare le misure; e comunque è consentito rapportare gli strumenti rispetto alle capacità di spesa dell’organizzazione.
Le uniche misure citate esplicitamente nel GDPR sono la cifratura (o crittografia), e la pseudonimizzazione (cioè separare i dati dalle identità attraverso pseudonimi). Attenzione però: se da una parte il GDPR non ne impone mai nessuna, dall’altra è anche vero esistono una serie di misure di sicurezza la cui adozione è molto semplice oppure è richiesta da altre prassi o normative, per cui esse costituiscono un insieme di misure che possiamo considerare “minime”, cioè la cui adozione è imprescindibile anche in presenza di trattamenti a rischio basso.
Si ricorda infine che il GDPR impone anche di verificare l’efficacia delle misure adottate.
Per approfondire: Il fattore umano nella sicurezza informatica
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
