Diventa Autore per CoreTech | Scopri di più
06/08/20 Avvocato Dalla Riva Blog
dell’Avvocato Gianluca Dalla Riva
Una banca di primaria importanza nel panorama italiano è stata sanzionata dal Garante, in applicazione della normativa che era in vigore anteriormente rispetto al regolamento (UE) 2016/679 c.d. GDPR, a seguito di una violazione di dati personali avvenuta nel 2017, relativamente ai dati dei propri correntisti (oltre 700 mila).
Il provvedimento è interessante perché sanziona la mancata adozione delle misure minime di sicurezza (secondo la terminologia utilizzata prima del GDPR), e come si legge nel provvedimento:
“- la violazione delle misure minime di sicurezza ex art. 33 del Codice è stata accertata con riferimento all’inosservanza delle regole nn. 12 e 13 del disciplinare tecnico di cui all’All. B) al Codice, in relazione all’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo xxx e all’assenza del “limite di accesso” dei profili di autorizzazione ai soli dati necessari per effettuare le operazioni di trattamento;
-la violazione delle misure prescritte con il provvedimento n. 192 del 12 maggio 2011 è stata accertata in relazione alla inadeguatezza e alla non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo xxx, alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo e alla mancata esecuzione di attività di audit interni di controllo;”.
In particolare ci si richiama a quello che ora viene definito nell’art. 5 § 1 lett. c) del GDPR come principio di minimizzazione dei dati personali, secondo cui, all’interno dell’organizzazione, il titolare del trattamento deve consentire l’accesso ai dati personali al proprio personale solo in quanto necessario.
Questo comporta l’obbligo di attribuire l’accesso ai dati personali al personale aziendale solo nei casi in cui per svolgere le proprie mansioni sia necessario il trattamento di quei dati e, comunque, solo nei limiti di quanto necessario, secondo analisi e valutazioni ben circostanziate.
Per non violare questo principio, rischiando di incorrere in sanzioni, è necessario predisporre preventivamente, tra l’altro, l’organigramma aziendale, la mappatura dei trattamenti e l’analisi e gestione del rischio a cui, poi, deve fare seguito un’attenta attribuzione degli accessi logici e fisici secondo le conclusioni raggiunte dalla propria analisi e valutazione. Tutto questo debitamente documentato.
Io per far questo, utilizzo la mia cartella excel, che ho chiamato privacyRID, oltre 60 fogli coordinati tra loro, per gestire i più importanti adempimenti privacy (per esempio analisi e gestione del rischio, gestione dei data breach, mappatura dei trattamenti, registri, organigrammi, analisi del contesto, gestione della formazione, gestione accessi logici e fisici, ecc.).
A questo si deve aggiungere anche una debita tracciatura dei log, in relazione al contesto di rischio del titolare del trattamento, nonché verifiche successive, anche tramite audit ed allert, per monitorare l’adeguatezza delle scelte tecniche ed organizzative effettuate.
Si tratta come visto di un adempimento fondamentale, che deve essere parte centrale del modello di gestione della privacy adottato dall’organizzazione.
Se poi sei un MSP, suggerisco di leggere i provvedimenti dei Garante che sanzionano i data breach, vedrai che troverai molte indicazioni pratiche sulle misure tecniche da applicare secondo le diverse circostanze esaminate, che si ripetono costantemente anche per altri titolari del trattamento.
Ad ogni modo può anche esserti utile anche per capire cosa ti aspetta se non intendi accollarti gli adempimenti privacy all’interno della tua organizzazione o supportando in questo senso anche i tuoi clienti.