A seguito della pubblicazione delle Linee guida in materia di conservazione delle password, il 1 marzo 2024 l’Autorità ha reso disponibili alcune FAQ. Ecco le domande frequenti a cui dà risposta il Garante per la Protezione dei Dati Personali:
- Quali sono i soggetti destinatari del provvedimento del Garante in materia di conservazione delle password?
- Quali sono i soggetti tenuti ad adottare adeguate misure tecniche di protezione delle password?
- In caso di utilizzo di una procedura di autenticazione informatica a più fattori, è comunque necessario adottare misure di protezione delle password?
- In caso di conservazione della cronologia delle password, è necessario applicare misure di protezione anche alle password impostate in precedenza dagli utenti?
- In quali casi occorre cancellare le password degli utenti seppur conservate in modo sicuro?
- Come comportarsi in caso di violazione dei dati personali avente a oggetto password a cui erano state applicate adeguate misure tecniche di protezione?
Particolarmente rilevanti i criteri che stabiliscono il perimetro dei soggetti cui spetta l’obbligo di seguire le Linee Guida. Un importante elenco con esempi di soggetti tenuti all’applicazione delle Linee Guida è ripreso nella FAQ n.2. Ma in linea generale, l’adozione delle misure tecniche raccomandate risulta necessaria qualora sia soddisfatta una o più delle seguenti condizioni:
- si svolgono trattamenti riguardanti le password di un numero elevato di soggetti, in termini assoluti o in percentuale della popolazione di riferimento a livello locale, regionale e nazionale
- si svolgono trattamenti riguardanti le password di accesso a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni o grandi imprese od organizzazioni)
- si svolgono trattamenti riguardanti le password di utenti che sistematicamente trattano dati particolari o giudiziari (es. professionisti sanitari, avvocati, magistrati).
Da non trascurare, inoltre, quanto ricordato nella FAQ n.6, che riprende le Linee guida EDPB 01/2021: tra i più importanti vantaggi derivanti dall’adozione di tecniche crittografiche per proteggere le password degli utenti, vi è il fatto che, in caso di data breach che colpisca le parole chiave, la violazione potrà essere considerata come non rischiosa per i diritti e le libertà degli interessati, quindi non determinare alcun obbligo di notifica al Garante o agli interessati.
[ved. anche RANSOMWARE: quando fare la notifica al Garante e la comunicazione agli interessati]