La normativa europea sulla privacy, meglio conosciuta come GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati) è entrata in vigore da un anno (più precisamente dal 25 maggio 2018) e sta nuovamente facendo parlare di sé in quanto è appena terminato il cosiddetto ‘periodo di grazia’ concesso dalla legislazione italiana per completare la messa in regola da parte delle aziende.
Sono quindi previste una serie di ispezioni da parte del Garante della Privacy, soprattutto per quanto riguarda i grandi gestori di dati personali, ovvero di quei dati che qualificano in qualsiasi modo un individuo.
I database sono un punto molto importante e delicato per quanto riguarda la protezione dei dati personali, in quanto proprio nei database vengono spesso immagazzinati questi dati. Per assicurarsi di rispettare la normativa, la partenza è un controllo completo di tutti i sistemi che possono essere vittime di attacco e quindi furto o perdita dei dati: non solo per quanto riguarda i database ma anche firewall, posta elettronica, accessi ad internet.
Il livello di sicurezza adeguato non viene specificato nella normativa, dove si parla di “misure tecniche ed organizzative appropriate” e vengono indicati alcuni esempi di provvedimenti da adottare come la cifratura dei dati e la loro pseudonimizzazione.
Le principali misure che si possono intraprendere per rendere sicuro un database possono comprendere quindi:
- Cifratura del disco contenente il dato. Non si tratta della semplice protezione dell’accesso al dato con password ma della cifratura del supporto stesso, in modo da rendere in ogni caso il dato illeggibile.
- Cifratura dei singoli file, in modo da renderli non leggibili a chi non possiede la chiave d’accesso.
- Cifratura delle comunicazioni via web, ad esempio con l’adozione del protocollo https.
- Cifratura dei backup dei database, che devono garantire il medesimo livello di sicurezza degli originali.
- Cifratura di alcune colonne del database, per proteggere dati sensibili come lo stato di salute o i dati finanziari.
- Pseudonimizzazione dei dati, ovvero impedire l’associazione tra dati e personali e dati sensibili, salvandoli in tabelle diverse e con corrispondenze non associabili.
- Controllo degli accessi, con regolazione e controllo delle attività di ogni utenza che abbia accesso al database.
Il regolamento stabilisce inoltre che in caso di perdita o violazione della sicurezza dei dati, la comunicazione di tale evento venga effettuata al garante e agli interessati entro 72 ore. Le pene in caso di mancato rispetto del GDPR sono note, con sanzioni massime da 20 milioni di euro o il 4% del fatturato. Spetta al titolare del trattamento essere in grado di dimostrare tutte le precauzioni e le strategie adottate a protezione dei dati personali che vengono trattati.
Inoltre, va ricordato che il regolamento prevede un periodo di tempo massimo di vita dei dati, che deve essere ragionevole e proporzionato all'ambito in cui l’azienda opera. Dopo il termine di tale periodo, il gestore è tenuto a chiedere nuovamente l’autorizzazione al trattamento oppure a cancellarli.
di Alice Sella, pubblicato il 5 giugno 2019
