Già nell'art. 22 del GDPR vi è un primo riferimento alle misure di sicurezza che si devono implementare nell'attività di trattamento dei dati personali che, in linea con il principio di accountability, l'amministratore nella sua veste di titolare o responsabile del trattamento dati dovrà essere in grado di dimostrare di aver attuato.
Lo studio di amministrazione dovrà infatti organizzare e costruire nel dettaglio quelle misure tecniche e organizzative adeguate al rischio, riuscendo a dare contezza di quanto proceduralizzato in caso di eventuale successivo controllo o ispezione da parte della Guardia di Finanza o degli ispettori del Garante.
Si tratta di una nuova concezione di applicazione della normativa, un criterio aperto, di dichiarata ispirazione alle normative volontarie (come ad esempio quelle della famiglia delle ISO/IEC), di impostazione europeista, impostato sul criterio del darsi una regola, metterla in pratica, verificar nell'efficacia e migliorare la regola stessa.
Questo nuovo modus operandi che richiede il GDPR, costituisce uno dei maggiori punti di rottura rispetto all'impostazione delle normative a cui noi italiani siamo abituati. Infatti, non si ha più l'impostazione formalistica tradizionale della legislazione italiana, abituata a lunghi elenchi di adempimenti tassativi, bensì si va a proporre un criterio aperto da adattare caso per caso, sul quale dibattere successivamente in sede di ispezione ed eventuale contestazione, nel quale la responsabilità non è ancorata all'esatto adempimento di una serie di obblighi ma alla corretta interpretazione di principi aperti.
In quest'ottica, l'art. 32 GDPR fornisce alcuni rimedi che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare (dunque si tratta di una elencazione non completa e anche facoltativa).
Si chiede quindi all'amministratore:
- la pseudonimizzazione e cifratura dei dati personali,
- la capacità di assicurare la continua riservatezza, integrità disponibilità e resilienza dei sistemi e dei servizi che trattano i dati,
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico e tecnico, e
- una procedura per verificare e valutare le misure tecniche e organizzative adeguate alfine di garantire la sicurezza dei trattamenti.
Così, quando caliamo la pseudonimizzazione del dato all'interno della realtà di uno Studio di amministrazione, ci riferiamo non tanto all'attribuzione di un codice numerico ad ogni Condominio amministrato, pratica già di uso corrente in moltissime realtà professionali, ma a quel complesso di misure organizzative pratiche che debbono portare in pratica ad evitare, ad esempio, che la segretaria dello studio chiami per cognome ad alta voce il condomino in sala d'attesa.
Quindi a fianco all'archivio ben ordinato e un codice che riconduca la nomenclatura riportata sul fascicolo al determinato Condominio, nonché la gestione delle chiavi e delle password dei sistemi informatici con i relativi registri, le misure tecniche e organizzative dovranno necessariamente prevedere una formazione del personale, una Policy di studio con delle procedure scritte e attuate.
Per quanto riguarda la cifratura, qualora il professionista si avvalga di società esterne che offrono archivi in cloud cifrati, essendo il professionista stesso il titolare del trattamento dovrà accertarsi che chi offre l'archivio, opportunamente nominato responsabile, dia sufficienti garanzie in merito ad accesso e recupero dei dati su richiesta dal database cifrato.
L'Amministratore di Condominio poi, sia che lo volessimo inquadrare come titolare, sia nella veste di responsabile del trattamento, ha anche l'obbligo di assicurare la solidità dei propri sistemi e servizi che, fin dalla progettazione (privacy by design e by default), devono essere creati, implementati o adattati per garantire non solo problemi ai malintenzionati, ma anche assicurare la salvaguardia del dato contro fughe e perdite accidentali dei dati stessi.
Anche qui, quindi, non si può prescindere dall'analisi dei rischi e dalla conseguente valutazione di adeguatezza in capo all'amministratore.
Questi potrà svolgere le sue attività di analisi e valutazione, nonché di implementazione delle procedure, o in autonomia (laddove disponga dei requisiti richiesti dal Considerando 81 GDPR che impone la "conoscenza specialistica" della materia), oppure affidandosi esternamente al Consulente privacy, che garantisce quelle competenze richieste dalla norma e provvede in maniera continuativa a formare e istruire l'amministratore, oltre a supportarne l'attività prestando quella consulenza necessaria per lo svolgimento delle tematiche privacy, andando così a supplire ad una mancanza di requisiti che altrimenti impedirebbe l'esercizio delle attività di trattamento.
