Una delle future possibili conseguenze dell’entrata in vigore del GDPR sarà la probabile scomparsa delle mm, un elenco ben definito di misure di sicurezza che sicuramente ha avuto il merito di far conoscere ai più i rudimenti della sicurezza.
Il concetto di misure minime era stato correttamente introdotto per evitare che di fronte ad una semplice autovalutazione, prevista dall’articolo 31, i titolari non sufficientemente motivati non attivassero alcuna misura di sicurezza.
Di qui anche il presidio penale per la mancata applicazione di queste 29 regole, fra le quali il tanto discusso DPS (che ha avuto il grande merito di costringere in qualche modo i Titolari ad effettuare una mappatura dei propri trattamenti ed una analisi dei rischi), che successivamente e stato “depenalizzato” eliminandolo dall’elenco.
In questi anni sono molte le interpretazioni che sono state date agli adempimenti previsti, o la totale omissione di alcune di esse, quali ad esempio la mm 25:
Misure di tutela e garanzia
- Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
che in questi anni ho visto rispettata in un numero veramente molto limitato di casi.
Ancora qualche giorno fa mi hanno chiesto se un’applicazione che non prevede una password per l’accesso sia o meno conforme ai dettami normativi.
Ho risposto come sempre faccio in questi casi: il 95% delle applicazioni, in particolare quelle di produttività individuale, non hanno alcuna password di accesso, ma mai nessuno ha pensato di non utilizzare Word o Open Office per questo motivo e tantomeno considerarle non conformi.
La normativa attuale prevede che ad ogni incaricato siano assegnate una o più credenziali di autenticazione per accedere ad UNO O AD UN INSIEME DI TRATTAMENTI.
Ragionevolmente quindi le credenziali che permettano di accedere ad una specifica postazione sono sufficienti per consentire di utilizzare tutti i dati e le applicazioni presenti su quella postazione senza necessità di ulteriore autenticazione applicativa. Questo comunque la dice lunga sua quanta strada ci sia ancora da fare nel passare dalla teoria alla pratica e come troppo spesso ci si basi, nell’applicare le regole, non sul testo normativo, ma su quanto si è asetticamente appreso da qualche libro o in qualche convegno.
Adeguarsi al GDPR richiederà una maggior livello di responsabilizzazione da parte dei Titolari e Responsabili di trattamento, che dovranno rendicontare sulle misure intraprese.