Pubblicate le FAQs del Garante riguardanti le Linee Guida in materia di conservazione delle password
Il Garante per la protezione dei dati personali ha reso pubbliche le FAQs relative alle Linee guida in materia di conservazione delle password, in cui dettaglia l’ambito di applicazione oggettivo e soggettivo delle Linee guida summenzionate e fornisce brevi indicazioni operative in caso di data breach.
Il 1° marzo 2024 il Garante ha pubblicato le risposte alle domande più frequenti in tema di conservazione delle password.
Come si ricorderà, le Linee Guida in merito erano state pubblicate il 7 dicembre 2023 ed erano il frutto del lavoro congiunto con l’ACN, Agenzia per la Cybersicurezza Nazionale.
Particolarmente rilevanti i criteri che stabiliscono il perimetro dei soggetti che sono tenuti ad adottare adeguate misure tecniche di protezione delle password.
Il Garante individua delle condizioni al ricorrere delle quali è raccomandato il potenziamento della protezione delle password:
- trattamenti riguardanti le password di un numero elevato di soggetti, in termini assoluti o in percentuale della popolazione di riferimento a livello locale, regionale e nazionale
- trattamenti riguardanti le password di accesso a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni o grandi imprese od organizzazioni)
- trattamenti riguardanti le password di utenti che sistematicamente trattano dati particolari o giudiziari (es. professionisti sanitari, avvocati, magistrati).
Si aggiungono, poi, a tale elenco: soggetti, pubblici e privati, che erogano servizi di conservazione dei documenti informatici a favore di terzi; Enti e istituti di ricerca pubblici di rilievo nazionale; Federazioni nazionali, Ordini, Collegi e Consigli professionali; Università e Istituti di istruzione universitaria; strutture sanitarie pubbliche e private; società e aziende che forniscono servizi ICT.
Si segnala l’importanza di quanto dichiarato all’interno della risposta alla domanda n. 3, in materia di utilizzo di autenticazione a più fattori.
Secondo il Garante, le linee guida in materia di funzioni crittografiche per la conservazione delle password si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori (c.d. strong authentication), perché rimane la necessità di proteggere gli utenti dal momento che questi ultimi potrebbero utilizzare la stessa password, o una simile, per l’accesso ad altri sistemi informatici o servizi online che non necessariamente prevedono procedure di autenticazione informatica a più fattori.
Particolare attenzione merita quanto ricordato nella FAQ n. 6, che riprende le Linee guida EDPB 01/2021: tra i più importanti vantaggi derivanti dall’adozione di tecniche crittografiche per proteggere le password degli utenti, vi è il fatto che, in caso di data breach che colpisca le parole chiave, se sono state adottate tecniche crittografiche allo stato dell’arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, la violazione può non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).