Nella normativa italiana si ricorre alla crittografia per proteggere alcune particolari categorie di dati che per la loro importanza e per i rischi connessi alla loro perdita o sottrazione richiedono maggiori cautele. Se ne fa cenno, infatti, nel Codice Privacy all’art. 22 in relazione al trattamento di dati sensibili e giudiziari, all’art 34 con riguardo ai trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari, e ancora al punto 22 dell’allegato B del Codice il quale prevede che il trasferimento dei dati genetici in formato elettronico sia cifrato.
La crittografia peraltro è da considerarsi anche un ottima misura di sicurezza contro il ransomwere: non possiamo infatti sapere se, pagando i “riscatti” richiesti per rendere nuovamente accessibili i dati, questi tornino effettivamente nelle esclusiva sfera di controllo del titolare o se invece siano stati sottratti e duplicati, diffusi o venduti. Qualora infatti venissero sottratti dati crittografati, resterebbero efficacemente inintellegibili per i malintenzionati, riducendo il rischio di violazioni.
Anche nel Regolamento UE 679/2016 meglio noto come GDPR, la crittografia viene menzionata diverse volte: si tratta di un importante strumento di cui il titolare e il responsabile possono avvalersi per mitigare i rischi connessi ai trattamenti. Si fa riferimento alla crittografia ad esempio nel considerando n. 83 il quale dispone che “Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”. Il considerando viene poi tradotto nell’articolo 32 del Regolamento medesimo il quale dispone che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali” (…).
La pseudonimizzazione e la cifratura, pertanto, sono misure che il Titolare deve tenere in considerazione quando valuta i rischi di sicurezza ai quali sono concretamente esposti i dati e opera per predisporre un livello di sicurezza adeguato al rischio.
Nella medesima sezione si trova anche l’art. 34, che, pure, menziona la crittografia disciplinando la “Comunicazione di una violazione dei dati personali all’interessato”. Come è noto quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento deve comunicare la violazione non solo all’autorità garante, ma anche all’interessato senza ingiustificato ritardo. Ebbene, dal comma 3 lettera a) si deduce che non è richiesta la comunicazione all’interessato se il Titolare “ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”.
Questo aspetto merita particolare attenzione perchè i vantaggi – anche sul piano dell’immagine -sono significativi.
Il ricorso alla cifratura, perciò, assume grande rilievo nell’ambito del Regolamento dove peraltro viene lasciato molto spazio all’iniziativa dei Titolari i quali dovranno effettuare un bilanciamento che sarà certamente rilevante in termini di responsabilità.
A parere della scrivente, pertanto, sarebbe opportuno che la crittografia si affermasse come prassi.
Avv. Federica Spuri Nisi