Rivista Italiana di Informatica e Diritto (Oct 2020)

La violazione dei requisiti di sicurezza informatica di cui all’articolo 32 del GDPR

  • Juan Sebastien Vanegas

DOI
https://doi.org/10.32091/RIID0020
Journal volume & issue
Vol. 2, no. 2
pp. 5 – 14

Abstract

Read online

Allineare le misure di sicurezza informatica ai requisiti previsti dall’articolo 32 del GDPR costituisce una delle difficoltà principali che le organizzazioni devono affrontare nei loro processi di conformità complessiva al GDPR. Tale difficoltà è certamente giustificata da alcune criticità proprie del tema specifico delle misure di sicurezza, come ad esempio il vastissimo ambito in cui esse sono implementate, la grande diversità di misure implementabili e il necessario coinvolgimento di diverse figure professionali. L’articolo 32, inoltre, non precisa quali misure debbano essere implementate, né tantomeno quali misure possano considerarsi adeguate, ma si limita a fornire un elenco non esaustivo di possibili misure. Pertanto, un’analisi della giurisprudenza delle autorità di controllo europee può rappresentare un utile contributo sia per individuare con precisione le misure informatiche ritenute inadeguate (anche al fine di verificare l’applicazione uniforme dei criteri di sicurezza) che per accompagnare gli operatori di settore nei loro processi di conformità. Per raggiungere tale obiettivo, sono state analizzate diverse decisioni emesse da autorità di cinque paesi (Italia, Regno Unito, Spagna, Francia e Danimarca), e le vulnerabilità rilevate sono state raggruppate in macrocategorie: accountability, gestione degli accessi, utilizzo di applicazioni obsolete e protezione dei dati. Il quadro che emerge dall’analisi è un approccio sostanzialmente uniforme da parte delle autorità di controllo, le quali sembrano concordare sia sul carattere inadeguato di alcune misure rilevate sia sul carattere adeguato di misure alternative discusse nei provvedimenti. L’interesse sul tema potrebbe d’altronde essere esteso in un futuro lavoro all’analisi delle politiche sanzionatorie e correttive adottate dalle autorità.

Keywords