Data protection

Obbligo in capo al Titolare del trattamento dei dati personali di ricorrere all’uso della crittografia.

Come noto,

In informatica, un protocollo di comunicazione è un insieme di regole che stabiliscono in che modo deve avvenire la comunicazione tra due o più entità.

Il protocollo Http è un protocollo di rete che permette lo scambio di informazioni sul web: contiene, infatti, regole e istruzioni indispensabili affinché due macchine collegate in rete possano interagire tra di loro. il protocollo HTTP prevede che le comunicazioni web avvengano “in chiaro”. I dati trasferiti tra client e server non sono cifrati, ma possono essere carpiti da terzi, con un’operazione che si definisce “man in the middle” (un terzo soggetto si inserisce nella comunicazione tra client e server, intercettando le informazioni che si scambiano).

Il protocollo HTTPS è l’acronimo di HyperText Transfer Protocol over Secur Socket Layer (noto anche come HTTP Secure). In italiano si traduce con Protocollo di Trasferimento dell’IperTesto Sicuro. HTTPS è una derivazione del protocollo HTTP, perché partendo da quest’ultimo lo ha reso più sicuro grazie all’uso dei certificati digitali e della crittografia, permette una comunicazione criptata dei dati tra client e server.

Pertanto, l’adozione del protocollo HTTPS per l’accesso al sito dell’azienda/ente garantisce un canale di comunicazione criptato e certificato dal Transport Layer Security (TLS) tra il client e il server e risponde, quindi, all’esigenza di un livello di adeguatezza delle misure di sicurezza richiesta dall’articolo 32, lettera b, del GDPR, il Regolamento UE sulla protezione dei dati: “…capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”. Per chiarezza espositiva si riporta nelle note il testo completo dell’art. 32 GDPR.[1]

L’adozione del protocollo HTTPS per l’accesso al sito della propria azienda garantisce un canale di comunicazione criptato e certificato dal Transport Layer Security (TLS) tra il client e il server e risponde, quindi, all’esigenza di un livello di adeguatezza delle misure di sicurezza richiesta dall’articolo 32, lettera b, del GDPR, il Regolamento UE sulla protezione dei dati: “…capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Lo scambio di comunicazioni crittografate diventa parte integrante di ogni strategia difensiva, costituisce una misura di sicurezza che il titolare del trattamento (i.e., azienda o ente) è chiamato ad implementare.

Quali sono i rischi che si corrono utilizzando una trasmissione non crittografata?

Una comunicazione veicolata su un protocollo http ,“in chiaro”, (senza crittografia) è rischiosa ed espone il Titolare al rischio di incorrere in una violazione dei dati (data breach) con, possibili ripercussioni sia di tipo economico che reputazionali.

ENISA, agenzia europea per la cybersicurezza, ha pubblicato le linee guida per l’implementazione delle misure minime di sicurezza che, per quanto di stretto interesse in questa sede, riguardano i seguenti adempimenti:

quarto obiettivo di sicurezza:  esistenza di adeguati contratti con i fornitori che devono contenere Service level Agreement e requisiti di sicurezza; ciò implica, tra l’altro, l’esistenza di un template per richiedere misure di sicurezza ad un fornitore prima di stipulare un contratto o la possibilità di perimetrare, all’interno dell’atto di designazione del responsabile del trattamento, ai sensi dell’art. 28 GDPR[2],  le misure di sicurezza da richiedere al fornitore;

ventitreesimo obiettivo di sicurezza: riguarda l’applicazione di tecniche crittografiche. ENISA raccomanda che siano in atto soluzioni crittografiche in tutti i sistemi su cui risiedono dati personali e che il personale sia edotto circa le disposizioni in materia di cifratura e circa le ragioni della sua necessità. A tale fine può essere utile acquistare dei software per la gestione delle chiavi crittografiche. L’organizzazione deve prevedere l’utilizzo di protocolli sicuri per inviare o ricevere qualsiasi tipo di dato: https, per il trasferimento di ipertesti; SFTP, per il trasferimento di file da una macchina ad un’altra; SSH, per la creazione di sessioni remote tra due host (l’host è il “corrispondente” da raggiungere o cui si è collegati in una connessione: servizio, sistema/applicazione, utente/amministratore, periferica, dispositivo/macchina/infrastruttura). La lista non è esaustiva essendovi altri protocolli altrettanto sicuri (FTPS o SCP), che svolgono le stesse funzioni.

Di seguito si riporta all’interno di una griglia, gli adempimenti a carico del titolare del trattamento che, qualora no adottati, dovranno essere attuati nell’immediato.

[1] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[2] Articolo 28 Responsabile del trattamento (C81)

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili

del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi

in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

dati personali
La compagnia assicuratrice

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

procreazione medicalmente assistita
Istituzione del Registro nazionale delle strutture autorizzate all’applicazione delle tecniche di procreazione medicalmente assistita. Il Garante privacy esprime parere favorevole.
27 Maggio 2025
trattamento dei dati personali
Il trattamento dei dati personali nella gestione dei contratti IT.
30 Agosto 2024
NIS2
La direttiva NIS2 e le scadenze da rispettare per la sua applicazione.
24 Gennaio 2025

Start typing and press Enter to search