Privacy Desk Suisse analizza le misure di sicurezza per la protezione dei dati personali. Nel dettaglio viene esaminata la nuova Legge federale sulla protezione dei dati (LPD) e vengono consigliate delle fonti da cui attingere per applicare al meglio le misure di sicurezza per la tutela dei dati.
Le misure di sicurezza costituiscono un importante strumento di accountability/responsabilizzazione del titolare del trattamento. In generale può essere operata una macro distinzione delle misure di sicurezza in due categorie: misure tecniche e misure organizzative.
Per misure tecniche si intendono quelle misure/metodologie – soprattutto di tipo informatico – che consentono, mediante l’utilizzo di accorgimenti tecnici, di controllare/presidiare e limitare l’accesso ai dati personali nonché di impedire la identificazione del soggetto interessato a soggetti che non siano autorizzati a trattare i dati. Per misure organizzative si intendono tutte le azioni e le iniziative che predispongono i titolari del trattamento ed i responsabili del trattamento al fine del rispetto dei principi di tutela dei dati personali di cui alle normative vigenti, quali ad esempio: la redazione di procedure ad hoc per determinati processi aziendali, la formazione e l’istruzione del personale etc.
La LPD prevede, all’articolo rubricato “Sicurezza dei dati”, che:
“Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.”
Espliciti riferimenti all’applicazione delle misure di sicurezza si trovano anche all’interno di altri articoli della norma (es. si vedano gli articoli relativi a notifica di violazioni della sicurezza dei dati e Motivi giustificativi) e, in particolare, troviamo un esplicito richiamo anche all’articolo Art. 45a cpv. 5 n. 5 del Codice Civile, di cui si riporta di seguito un estratto:
“[…] Con la partecipazione dei Cantoni, il Consiglio federale disciplina:
[…] le misure tecniche e organizzative necessarie per garantire la protezione e la sicurezza dei dati; […]”
Restiamo dunque in attesa di ricevere indicazioni rispetto a quanto verrà disciplinato, come da previsione di cui alla LPD e al Codice Civile, dal Consiglio Federale in materia di misure di sicurezza.
In attesa di quanto sopra le organizzazioni devono applicare, in ogni caso, le misure di sicurezza più adeguate alla tutela dei dati personali facendo riferimento ed utilizzando quali best practices le misure previste nel documento Standard minimo per migliorare la resilienza delle TIC rilasciato dall’ufficio federale per l’approvvigionamento economico del paese UFAE e che trae ispirazione dagli standard riconosciuti a livello internazionale tra cui ad esempio:
- NIST Guide to Industrial Control Systems (ICS) Security and NIST Cybersecurity Core Framework con direttive specifiche riguardanti in particolare la gestione di sistemi di controllo industriali (ICS);
- ISO 2700x di cui il più importante è lo standard ISO 27001, che definisce i requisiti relativi a istituzione, applicazione, mantenimento e costante miglioramento di un sistema di gestione documentato sulla sicurezza dell’informazione in linea con lo specifico contesto operativo di un organismo;
- COBIT Control Objectives for Information and related Technology (COBIT);
- ENISA Good Practice Guide on National Cyber Security Strategies;
- Bundesamt für Sicherheit in der Informationstechnik (Germania).
Articolo a cura di Roberta De Giusti | Data Protection Consultant, Privacy Desk Suisse
