Il Garante, nell’ambito della sanzione emessa nei confronti del titolare della piattaforma Rousseau, ha ribadito la natura di alcuni adempimenti riguardanti i profili di sicurezza informatica.
E’ quanto pubblicato dal Garante Privacy con il provvedimento n. 83 del 4 aprile 2019 [doc. web n. 9101974]. Il caso. Gli artt. 25 e 32 GDPR impongono misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, gravando il Titolare del trattamento della comprensione e successiva implementazione delle specifiche misure necessarie. Queste risultano ulteriormente rilevanti nel caso in cui lo studio legale metta a disposizione dei propri clienti un’area riservata per lo scambio e la fruizione di documentazione, che sovente riguarda atti giudiziari e contiene di conseguenza dati particolari. Le misure di sicurezza per l’area riservata del cliente sul sito dell’avvocato. Con provvedimento n. 83 del 4 aprile 2019, l’Autorità Garante per la Protezione dei Dati Personali ha chiuso l’ iter istruttorio relativo alla verifica degli adempimenti prescritti nei confronti del Movimento 5 Stelle, di Beppe Grillo e della piattaforma Rousseau, iniziato con provvedimento n. 548 del 21 dicembre 2017, elevando una sanzione di euro 50.000 per violazione dell’art. 32 e prescrivendo al Titolare di provvedere nei modi e nei termini già espressi. All’esito dell’istruttoria è stato verificato che in relazione alla piattaforma informatica di proprietà del Movimento 5 Stelle ed assegnata in gestione all’Associazione Rousseau in qualità di responsabile esterno del trattamento ex art. 28, nonostante l’innalzamento dei livelli di sicurezza dei trattamenti in essere – specificamente attraverso l’esecuzione di un vulnerability assessment e la risoluzione di alcune criticità della piattaforma software – permangono importanti criticità con particolare riguardo alla tenuta dei file di log degli amministratori di sistema, alla inopportuna condivisione delle credenziali di autenticazione tra gli operatori autorizzati e alla riservatezza delle operazioni di voto elettronico. Anche se la piattaforma Rousseau non riguarda uno studio legale, i principi espressi dalle prescrizioni emanate dall’Autorità con questo provvedimento devono essere ritenuti applicabili sull’attività posta in essere da molti studi legali che, al fine di mettere a disposizione dei propri clienti uno spazio di condivisione di atti e documenti, permettono a questi ultimi l’utilizzo di soluzioni in cloud o l’accesso a spazi condivisi sui sistemi informatici dello studio. Su queste aree i clienti possono effettuare l’upload ed il download di informazioni e file che spesso contengono dati particolari ex art. 9 GDPR. Sia che tali spazi siano amministrati in outsourcing da aziende che offrono servizi in cloud – in relazione alle quali deve sempre essere tenuta in considerazione la disciplina relativa al trasferimento di dati personali fuori dal territorio dell’UE –, sia che si tratti di servizi resi sugli stessi sistemi informatici di studio, particolare attenzione deve essere prestata alle disposizioni di sicurezza di cui agli artt. 24, 25 e 32 del GDPR. Nello specifico, il Titolare deve sempre porre in essere ogni più idonea misura a garantire e dimostrare la conformità del trattamento e la riservatezza, l’integrità, la disponibilità e la resilienza stessa dei sistemi di trattamento, provvedendo ad adeguare le misure tecniche ed organizzative perché il livello di sicurezza possa dirsi effettivamente adeguato al rischio.