È noto che il GDPR richiede l’adozione da parte del titolare del trattamento di misure tecniche e di misure organizzative adeguate al rischio per i diritti e le libertà degli interessati.
Spesso, però, i clienti identificano questo requisito con le sole misure di sicurezza tecnologiche (finalizzate per lo più alla cyber security) che, tuttavia, rappresentano solo una parte dell’intero complesso di misure che il GDPR chiede al Titolare di adottare per tutelare i dati personali degli interessati.
Secondo gli standard ISO “più vicini” alla data protection (penso, ad esempio allo standard ISO 27001) per misure organizzative, generalmente si intendono tutte quelle politiche, procedure, regolamenti idonei ad ottenere un livello di sicurezza e protezione delle informazioni (dei dati) coerente con gli obiettivi e le strategie dell’organizzazione.
Rappresentano, ad esempio, misure organizzative quelle che:
- prevedono la separazione dei compiti;
- contemplano ed individuano ruoli e responsabilità;
- permettono la gestione degli utenti, dei loro diritti, degli accessi fisici;
- consentono la rintracciabilità, la misurazione, i controlli e le verifiche;
- sono finalizzate alle gestione degli asset e dei supporti rimovibili;
- promuovono l’istruzione e la promozione della consapevolezza.
Occorre, peraltro, essere consapevoli che una protezione ideale o assoluta non esiste ma che occorre trovare il giusto equilibrio tra il valore di ciò che si vuol proteggere e il costo della protezione: questo principio viene fatto proprio dal GDPR che, infatti, già nelle premesse dell’art. 32, chiarisce che le misure organizzative e tecniche da adottare devono tener conto, tra le altre cose, dei rischi, dello stato dell’arte ed anche dei costi.
In questo contesto, è fuori discussione che la predisposizione di idonee misure organizzative per la corretta gestione e protezione dei dati personali costituisce un indispensabile ed imprescindibile presupposto per ottenere il risultato preteso dal GDPR.
Ma qual è il livello di dettaglio che deve considerarsi adeguato nell’adozione e formalizzazione delle misure organizzative di cui le imprese devono dotarsi per garantire la sicurezza e liceità dei trattamenti dei dati in loro possesso?
A mio avviso si possono individuare livelli di dettaglio differenti, distinguendo tra:
- regolamentazione di procedure ineludibili per qualsiasi realtà imprenditoriale, grande o piccola che sia, a tutela dei dati personali;
- procedure interne da adottare come ausilio, semplificazione di determinate attività o quale complemento ad un armonico sviluppo dei processi organizzativi interni alle imprese.
Rientrano, ad esempio, nella prima categoria (procedure ineludibili) le procedure di:
- accesso all’archivio dati;
- rilascio di credenziali;
- verifica delle identità;
- identificazione dei soggetti responsabili
- segnalazione di eventi di data breach.
Per questa tipologia di misure organizzative, il dettaglio che deve avere la regola da adottare sarà strettamente dipendente dall’obiettivo che ci si prefigge: ad esempio, se devo determinare a chi fa capo la decisione di adottare una misura di contrasto ad un evento di data breach, nel mio regolamento dovrò stabilire chi è il responsabile della funzione destinatario della segnalazione, con quali modalità di comunicazione dovrà essere informato dell’evento, quali sono gli eventi che danno luogo all’obbligo di segnalazione, etc..
Quando, invece, rientriamo nella seconda categoria di misure organizzative (quelle che ho definito come procedure interne), le regole dovranno essere tanto più dettagliate quanto più si ritenga che una disciplina analitica “per casi esemplificativi” possa essere più efficace e comprensibile di una regolamentazione basata sull’enunciazione dei soli criteri generali e delle finalità perseguite.
Pertanto:
- se vogliamo lasciare ai singoli la decisione del comportamento più idoneo da tenere in concreto, potrà essere sufficiente limitarsi ad enunciare il principio: ad esempio, potranno essere codificate regole quali “utilizza responsabilmente gli strumenti ICT; accedi ai soli dati realmente necessari, reagisci velocemente alle minacce”, etc.. Questo approccio, che utilizza un livello di dettaglio basso, presuppone che gli individui a cui la regola si rivolge abbiano sufficienti conoscenze e capacità di valutazione per adottare azioni e comportamenti ragionati e motivati in relazione alle specifiche situazioni;
- se, invece, vogliamo privare il più possibile i destinatari del potere discrezionale di decidere ciò che si può o non può fare, stabiliremo delle regole rigidamente analitiche, descrittive ed esemplificative, individuando l’intera casistica delle situazioni tipiche con la quale l’organizzazione dovrà confrontarsi.
Per fare un esempio del secondo caso, regolamentando l’utilizzo degli strumenti mobili aziendali, si potranno elencare tutte le possibili situazioni individuando per ciascuna la condotta da seguire e, quindi, per esempio, imporre di:
- criptare l’accesso agli strumenti mobili dotandoli di adeguata password, anche biometrica;
- segregare, se possibile, la partizione di memoria contenente i dati aziendali;
- spegnere le connessioni wi-fi e bluetooth in aree pubbliche e, comunque, non usare
- connessioni pubbliche non protette;
- non lasciare incustodito il dispositivo in qualunque luogo (albergo, auto, etc.);
- limitare quanto più possibile il trasferimento e la conservazione di dati aziendali sui device mobili;
- in ogni caso, crittografare tutti i dati aziendali presenti sui dispositivi;
- bloccare immediatamente da remoto il device in caso di perdita o di furto e segnalare immediatamente al responsabile IT aziendale l’accaduto;
- non installare applicazioni insicure e non verificate o che richiedono l’accesso a risorse del device non indispensabili per il loro funzionamento.
Personalmente preferisco la prima soluzione (livello di dettaglio basso) perché si adatta maggiormente al mutamento della tecnologia e dei processi e, quindi, consente alle misure organizzative di avere maggiore stabilità nel tempo.
Mi rendo conto, tuttavia, che l’esemplificazione di una finalità in tanti esempi concreti possa essere di aiuto, in molti casi, per eliminare dubbi ed incertezze applicative nei destinatari.
Poiché il dettaglio ottimale nell’elaborazione delle misure organizzative di un’impresa deve essere quello che assicura la comprensione della ratio della regola ai destinatari, la tecnica di redazione delle singole policy o regolamenti interni dovrà tenere conto delle caratteristiche delle singole funzioni e/o attività aziendali cui si rivolge, adattandosi al singolo contesto specifico.