93
pio, accesso non autorizzato piuttosto che perdita
o distruzione dei dati).
• L’identificabilità dei contraenti o delle altre perso-
ne coinvolte nella violazione
(per esempio, nel caso in cui
la violazione abbia avuto ad
oggetto più tipologie di dati
relative alle medesime per-
sone).
• L’attualità dei dati oggetto
della violazione.
• Lo specifico contesto nel
quale si è verificato l’evento
di violazione (vi sono, infat-
ti, ambiti che presentano un
maggiore grado di sensibili-
tà, quali a titolo esemplifica-
tivo, quello sanitario o mili-
tare) e che nel dubbio venga
preso in considerazione il
caso peggiore, ossia quello
nel quale la riservatezza o i
dati personali dei contraenti
o delle altre persone siano effettivamente pregiu-
dicati dall’evento. Come per esempio la possibi-
le esposizione a frodi nel caso di perdita di dati
relativi alla carta di credito degli interessati.
In particolare, il garante ha suggerito:
1 Le misure in grado di garantire un livello minimo
comune di sicurezza;
2 Le misure prescritte con il provvedimento relati-
vo alla “Sicurezza dei dati di traffico telefonico e
telematico” del 17 gennaio 2008;
3 Le “Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di
amministratore di sistema” del
27 novembre 2008 (pubblicato
in G.U. n. 300 del 24 dicembre
2008 e modificato in base al
provvedimento del 25 giugno
2009).
Con ciò si vuole rendere i dati
trattati immediatamente non
disponibili per ulteriori elabora-
zioni da parte di sistemi infor-
mativi al termine delle attività
svolte e nelle quali gli stessi
sono coinvolti, provvedendo
alla loro cancellazione o tra-
sformazione in forma anonima
in tempi tecnicamente compa-
tibili con l’esercizio delle rela-
tive procedure informatiche,
nei database e nei sistemi di
elaborazione utilizzati per i
trattamenti, nonché nei sistemi e nei supporti per
la realizzazione di copie di sicurezza (backup e di-
saster recovery), anche con il ricorso a tecnologie
crittografiche o di anonimizzazione.
Infine, si vuole porre particolare attenzione ai di-
spositivi portatili, predisponendo specifiche misu-
re di sicurezza in grado di mitigare il rischio con-
nesso alla portabilità dell’apparato, e di assicurare
agli stessi un livello di sicurezza analogo a quello
applicato agli altri dispositivi informatici, in consi-
derazione del fatto che molto spesso le violazioni
della sicurezza riguardano i dispositivi mobili uti-
lizzati da dipendenti e collaboratori dei fornitori al
di fuori degli uffici delle aziende.
Maria Cristina Daga
Legale ISL S.r.l.
Gabriele Faggioli
Legale ISL S.r.l.
»
»
L’obiettivo è rendere i dati
trattati immediatamente
non disponibili per ulteriori
elaborazioni da parte
dei sistemi informativi
al termine delle attività svolte
e nelle quali gli stessi sono
coinvolti, provvedendo
alla loro cancellazione
o trasformazione
in forma anonima in tempi
tecnicamente compatibili
con l’esercizio delle relative
procedure informatiche
giugno 2013
Foto: © peshkova - Fotolia.com
