Conservazione delle password: il garante interviene con le FAQ

Conservazione delle password

Le FAQ del Garante per la Protezione dei Dati Personali mirano a fornire risposte utili alle domande più frequenti, in ordine alla conservazione delle password.

L’Autorità indica:

  • alcuni esempi di titolari e responsabili del trattamento destinatari del provvedimento in modo da comprendere se si ricada nell’applicazione del provvedimento del 7 dicembre u.s.: strutture sanitarie pubbliche e private; società e aziende che forniscono servizi ICT; Università e Istituti di istruzione universitaria; CAF e patronati; imprese di somministrazione di lavoro e ricerca del personale; concessionari di servizi pubblici; imprese assicurative; società di informazioni creditizie; società di informazioni commerciali; società che svolgono attività di commercio elettronico; società che offrono servizi di biglietteria per eventi teatrali, sportivi ed altri eventi ricreativi e d’intrattenimento; società che erogano servizi di streaming.
  • tre casi in presenza dei quali trova applicazione il provvedimento:
    1. il trattamento riguarda le password di un numero significativo di utenti;
    2. il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni o grandi imprese od organizzazioni);
    3. il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679 (es. professionisti sanitari, avvocati, magistrati)
  • l’estensione applicativa del provvedimento anche ai casi di autenticazione a più fattori (MFA);
  • la possibilità (da valutare caso per caso) di non procedere alla notifica al Garante in caso di data breach, qualora siano state adottate tecniche crittografiche conformi allo stato dell’arte per proteggere le password degli utenti e non siano state coinvolte anche altre tipologie di dati personali (beneficio non da poco!).

Per approfondire

Per approfondimenti, si invita alla lettura del provvedimento e relative  Linee guida sulle funzioni crittografiche e sulla conservazione delle password”, elaborata dal Garante Privacy Italiano e dall’Agenzia per la Cybersicurezza Nazionale.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!