Recentemente il Garante per la Privacy ha comminato una sanzione di euro 50.000, ad una associazione, per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento Europeo 679 / 2016 (GDPR).
Tale provvedimento riveste notevole importanza, poiché definisce le linee guida per i sistemi informatici per le sanzioni che il Garante della Privacy irrogherà per il mancato rispetto della tutela delle misure di sicurezza a protezione dei dati.
In queste linee guida ricopre una particolare importanza il ruolo del DPO o del consulente della Privacy che per conto del Titolare del trattamento è tenuto al continuo aggiornamento del sistema privacy e coadiuva il Tdt nella preparazione della documentazione di valutazione del rischio; è importante ricordare che non è sufficiente aver adottato le misure previste, il tutto deve essere ben documentato dando prova di coscienza delle azioni intraprese a difesa degli interessati.
Si può affermare che le linee guida definite dal garante, per non incorrere in violazione sulla sicurezza informatica, sono le seguenti:
Attività di Valutazione della Vulnerabilità.
Tra le Linee Guida del Garante Privacy per evitare le Sanzioni è di fondamentale importanza tale attività che consente di avere un quadro esauriente dei sistemi informativi e delle criticità a cui gli stessi sono esposti. Per l’esecuzione di una valutazione delle vulnerabilità (Vulnerability Assessment) vengono utilizzati tools automatici che scansionano e testano i servizi informatici in particolare i siti web. Per essere conforme ai dettami della Privacy by Design le valutazione delle vulnerabilità (Vulnerability Assessment) vanno effettuate prima della messa in esercizio del servizio (es. sito web o applicazione online), allo scopo di individuare e correggere eventuali criticità nei servizi prima di renderli fruibili al pubblico. I controlli poi si devono effettuare con cadenza periodica per essere rinnovate, al fine di garantire un livello costante nel tempo di protezione dei dati personali.
Gestione della password.
Dalle linee guida sulle sanzioni si evince che la password non deve mai essere inferiore ad otto caratteri; inoltre non deve consentire l’inserimento di parole di uso comune, o riferibili alla persona, facilmente individuabili. Le applicazioni devono possedere strette limitazioni al numero di tentativi di accesso con password erronea, per impedire attacchi e l’applicazione deve bloccare l’autenticazione nel caso in cui l’utente abbia sbagliato più volte le credenziali di accesso.
Sicurezza dei protocolli.
Le linee guida per ovviare al pericolo di sanzioni, inoltre fanno capire che per addivenire ad un accesso sicuro a tutti i contenuti e siti web e applicazioni online, è obbligatoria l’adozione di protocolli sicuri https (secure hyper text transport protocol) emessi tramite certificato digitale rilasciato da una Certification Authority riconosciuta.
Archiviazione password.
L’archiviazione della password, all’interno del database di un’applicazione, deve essere eseguita mediante l’adozione di algoritmi crittografici il più possibile sicuri; mediante la crittografia non viene conservata la password in chiaro, visibile in caso di violazione dei dati personali, ma un codice cifrato totalmente diverso dalla password inserita.
Auditing informatico operazioni.
Come si desume dalle linee guida sulle sanzioni, ogni sistema informativo deve adottare misure che consentano l’auditing informatico. Tale attività va svolta mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema, adottando gli accorgimenti di cui al provvedimento generale del Garante del 27 novembre 2008 in tema di amministratori di sistema (doc. web 1577499). Tale operatività si ottiene per mezzo della configurazione dei sistemi informatici in modo tale che sia possibile tracciare gli accessi degli amministratori di sistema, gli accessi degli amministratori dei database, gli accessi degli utenti che eseguono le applicazioni.
Corretta gestione delle utenze.
La gestione corretta delle utenze designate al trattamento dei dati, così come previsto dal GDPR deve comprendere:
- formali atti di nomina di soggetti in possesso di uniche credenziali di accesso;
- revisione periodica delle utenze al fine di eliminare quelle non più utilizzate da lungo tempo e, pertanto, ragionevolmente, abbandonate.
Se si rispettano tali linee guida il rischio di sanzioni in materia di sicurezza informatica è fortemente ridotto.
Fonte Garante Privacy: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974