Art. 32 GDPR — Sicurezza del trattamento

Commento

La sicurezza come principio operativo

L'art. 32 GDPR è la norma cardine sulla sicurezza del trattamento. Concretizza il principio di integrità e riservatezza dell'art. 5, par. 1, lett. f e si coordina con il privacy by design dell'art. 25. La sicurezza è obbligo continuo, proporzionato al rischio, dimostrabile. La giurisprudenza del Garante ha sanzionato migliaia di violazioni di sicurezza con cifre che vanno da decine di migliaia a centinaia di milioni di euro per le piattaforme globali.

Misure tecniche e organizzative (par. 1)

Il par. 1 prevede che, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare e il responsabile mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. La regola è di proporzionalità dinamica: la sicurezza cresce con i rischi e con l'evoluzione tecnologica.

Cifratura, pseudonimizzazione, integrità, ripristino

Il par. 1 lett. a-d elenca misure esemplificative: pseudonimizzazione e cifratura dei dati personali; capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Le misure operative includono firewall, antivirus, backup, DR plan, audit log, vulnerability management.

Valutazione del rischio

Il par. 2 specifica i criteri di valutazione del rischio: si tiene conto in particolare dei rischi presentati dal trattamento, derivanti in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. La valutazione del rischio è dinamica: nuove minacce (ransomware, supply chain attack, AI-driven attack) impongono aggiornamenti delle misure. Le DPIA (art. 35) sono lo strumento per la valutazione strutturata.

Aderenza a codici e certificazioni (par. 3)

Il par. 3 prevede che l'adesione a un codice di condotta approvato (art. 40) o a un meccanismo di certificazione approvato (art. 42) possa essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al par. 1. Standard rilevanti: ISO 27001 (sistema di gestione della sicurezza dell'informazione), ISO 27701 (privacy information management), NIST framework, Europrivacy. La certificazione è volontaria ma facilita audit e riduce il rischio sanzionatorio.

Responsabilità del personale (par. 4)

Il par. 4 prevede che il titolare e il responsabile facciano in modo che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non li tratti se non su istruzione del titolare, salvo che lo richieda il diritto UE o degli SM. Riprende l'art. 29: la sicurezza include la governance degli accessi del personale. Formazione, accordi di riservatezza, RBAC, log degli accessi, revisione periodica dei privilegi sono componenti essenziali. Il fattore umano è causa di gran parte delle violazioni: la sicurezza tecnica senza sicurezza organizzativa è incompleta.

Regola pratica e checklist operativa

Compliance art. 32: (i) risk assessment iniziale e periodico; (ii) misure tecniche (cifratura, MFA, backup, monitoring); (iii) misure organizzative (policy, formazione, RBAC); (iv) test periodici (VA, PT, simulazioni); (v) certificazioni come prova; (vi) DPIA per trattamenti a rischio; (vii) response plan breach; (viii) integrazione con SOC e CSIRT. Il fronte più sanzionato.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.