 Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
 Chiudi
logo
  •  Login
  • Il gruppo
  • Il progetto
  • Directio Networking

NEWS & MORE | Directio

Obbligazione e contratti > Privacy
stampa | torna alle news

Misure personalizzate per garantire la sicurezza dei dati personali trattati. Quali adottare?

30 marzo 2018
Il Regolamento UE n. 679/2016 cambia prospettiva eliminando l’elenco tassativo delle misure minime
Scritto da Annalisa Spedicato
profile
Annalisa Spedicato

Avvocato. Si occupa di diritto della Proprietà Industriale e Intellettuale, Privacy e Diritto dei Nuovi Media. Appassionata di grafica, web design e fotografia. Il legale al servizio della creatività e dell’innovazione.

La direttiva n. 95/46 in materia di privacy e il nostro Codice Privacy che ne dava attuazione, per certi versi offrivano vita facile ai titolari del trattamento in relazione alle misure di sicurezza da adottare, almeno per quelle minime obbligatorie; tali misure infatti erano contenute nel famoso Allegato B al Codice Privacy e si trattava di un preciso elenco delineante strumenti tecnici e consigli applicativi tangibili che tutti i destinatari delle norme in materia di trattamento dati personali erano tenuti indistintamente ad impiegare; a queste misure minime obbligatorie poi se ne aggiungevano in alcuni casi delle altre, definite idonee, ovvero misure che ciascun titolare del trattamento poteva scegliere di implementare in base alla propria compagine organizzativa e al tipo di trattamento svolto.

I parametri da considerare nella scelta delle misure di sicurezza

Il Regolamento UE n. 679/2016, invece, cambia prospettiva ed eliminando l’elenco tassativo delle misure minime, le trasforma in strumenti personalizzati e proporzionati al trattamento, attribuendo maggiore libertà di scelta in capo a titolari e responsabili del trattamento in merito alle misure di sicurezza e organizzative da adottare nel concreto. Questa maggiore libertà, però ha effetto anche sulla gravità delle sanzioni che aumentano a loro volta e sul livello di responsabilizzazione dei titolari/responsabili del trattamento che sono chiamati oggi ad effettuare una valutazione preliminare prima della scelta delle misure da accogliere e implementare a tutela dei dati personali.

Il titolare/responsabile del trattamento, infatti, per determinare quali misure di sicurezza impiegare nella propria organizzazione, deve prendere in considerazione, diversi parametri, come la natura del trattamento, la categoria dei dati trattati, il contesto in cui si svolge il trattamento, le finalità del trattamento e il rischio potenziale, analizzato in termini di gravità e probabilità di accadimento, ovvero in che modo il trattamento potrebbe ripercuotersi sui diritti e le libertà degli interessati, esaminando, in particolare, i possibili danni che una distruzione, una perdita, una alterazione, un accesso indesiderato, una trasmissione o diffusione involontaria o dolosa dei dati potrebbero provocare sulle persone. E’ ovvio che i rischi individuati, ad esempio, nel trattamento di dati di natura particolare come dati finanziari ed economici, dati biometrici o sanitari saranno di certo potenzialmente più dannosi, qualora si verificassero, rispetto ad un trattamento di soli dati generici, pertanto il titolare che gestisce tali dati particolari dovrà di certo optare per misure di sicurezza più forti, rispetto ad esempio ad un titolare che si trova a trattare dati che non hanno una natura così delicata.

Solo dopo aver svolto tali verifiche, delle quali occorre tenere traccia, il titolare/responsabile del trattamento potrà opportunamente decidere quali sono le misure adatte alla propria organizzazione, in ragione dello stato dell’arte e del budget a disposizione per attuarle (cons. 83 GDPR e art. 32).

Cosa deve garantire il titolare del trattamento attraverso le misure di sicurezza

Il GDPR quindi non presenta un elenco preciso di misure di sicurezza di natura tecnica e organizzativa, l’art. 32, infatti, propone delle categorie di misure, premettendo che prima della selezione e dell’adozione, il titolare/responsabile del trattamento deve appunto tenere conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Ancora una volta quindi nella logica del GDPR la fase di assessment diventa uno step imprescindibile, di fondamentale importanza.

Un titolare/responsabile del trattamento, secondo l’art. 32 dovrebbe considerare l’adozione di strumenti che consentano la pseudonimizzazione e la cifratura dei dati, misure che abbiano la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure che consentano di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Nel dare concretezza al principio dell’accountability e della personalizzazione delle misure da adottare commisurate al trattamento e al rischio potenziale ad esso connesso, più che fornire una precisa lista di misure, il legislatore europeo ha preferito non tipizzare, ma offrire validi suggerimenti, considerando quello che le misure devono permettere di ottenere nell’ottica di diminuzione dei rischi potenziali individuati e quindi sarà necessario adottare misure che siano in grado di:

  • rendere i dati indecifrabili (si tratta di una delle misure di sicurezza considerate allo stato della tecnica tra le più efficaci, si pensi nella pratica ad esempio, al furto dello strumento fisico su cui si trovano dati personali, ma anche ad un accesso illecito all’archivio informatico che contiene le informazioni, garantendo che queste restino incomprensibili, i dati saranno inutilizzabili e quindi protetti);
  • assicurare la riservatezza, l’integrità e la disponibilità dei dati;
  • ripristinare velocemente la disponibilità e l’accesso in caso di incidente fisico;
  • verificare periodicamente l’efficacia delle misure precedenti (non è sufficiente analizzare, scegliere e impiegare le misure, occorre prevedere procedure per testare periodicamente l’efficacia di quanto adottato).

La scelta degli strumenti nel concreto è rimessa al titolare/responsabile. Queste misure di sicurezza dovranno poi essere accompagnate da istruzioni operative e policy interne che consentano a coloro che trattano i dati nell’ambito delle proprie mansioni aziendali e dei propri ruoli di conoscere gli strumenti operativi presenti in azienda e sapere come servirsene in maniera legittima e consapevole al fine ultimo di garantire la concreta protezione dei dati.

Condividi il contenuto:
CERCA NELLA BANCA DATI
Seleziona il contenuto che vuoi cercare:
  •  Tutto
  •  News
  •  Video
  •  Scadenze
 CERCA
  • Il GDPR: cosa cambia per la privacy dei dati in azienda
VIDEO CORRELATI
  • Presentazione Regolamento n.679/2016: principi di uniformità ed extraterritorialità
    9 marzo 2018
    Presentazione Regolamento n.679/2016: principi di uniformità ed extraterritorialità
  • Data Protection Impact Assessment (DPIA): tra obbligo e opportunità
    9 marzo 2018
    Data Protection Impact Assessment (DPIA): tra obbligo e opportunità
  • Diritto di opposizione al trattamento nel GDPR
    9 marzo 2018
    Diritto di opposizione al trattamento nel GDPR
  • Portabilità dei dati: quando ricorre tale diritto e come consentirne l'esercizio all'interessato
    26 marzo 2018
    Portabilità dei dati: quando ricorre tale diritto e come consentirne l'esercizio all'interessato
  • Diritto alla limitazione: gli obblighi del titolare del trattamento
    26 marzo 2018
    Diritto alla limitazione: gli obblighi del titolare del trattamento
NEWS CORRELATE
  • 25 gennaio 2018
    Maggio 2018: entra in vigore il GDPR
  • 29 gennaio 2018
    Il nuovo diritto alla limitazione del trattamento dei dati. Di cosa si tratta?
  • 2 febbraio 2018
    Contitolarità nel trattamento dei dati personali. Quando si verifica? Qual è il contenuto obbligatorio del contratto?
  • 9 febbraio 2018
    Nuove figure in ambito privacy previste dal GDPR: i sub-responsabili del trattamento
  • 14 febbraio 2018
    Norme nazionali in forte ritardo sull’adeguamento al GDPR
  • 16 febbraio 2018
    Come cambia il diritto di opposizione al trattamento dei dati personali nel GDPR
DOCUMENTI CORRELATI
  • Regolamento UE n. 679/2016
  • Direttiva n. 95/46/CE
ULTIME INFO DA DIRECTIO.IT

VIDEO & MORE

  • Definizione degli atti impositivi: atti definibili e non definibili

    Definizione degli atti impositivi: atti definibili e non definibili

NEWS & MORE

  • Pace fiscale: l'Agenzia delle Entrate pubblica il modello

    Il provvedimento approva il modello per la presentazione telematica della domanda di adesione alla definizione agevolata delle liti pendenti
 Torna in cima
Directio
video & more
news & more
scadenze & more
www.directio.it
stampato il 21 febbraio 2019
logo footer
Directio S.r.l. info@directio.it - pec: solutionfactory@legalmail.it - T +39.011.5609007 - F +39.011.5660603 Corso Inghilterra 47, 10138 Torino - C.F./P.I. 09552270010 - Iscrizione CCIAA Torino R.E.A. n. 1061680 Registro Imprese Torino 09552270010 - Reg. Trib. Torino - n. 10 - 29/04/2013 Capitale sociale euro 100.000,00 interamente versati Informativa privacy - Azienda certificata ISO 9001:2015
logo iso

News
Video
NON SEI ANCORA REGISTRATO?
Registrati

ISCRIVITI ALLA NEWSLETTER
Per essere sempre aggiornato su tutte le novità e le scadenze
Campo obbligatorio
Campo obbligatorio
Campo obbligatorio
Campo obbligatorio
Leggi l'infomativa sulla privacy
Directio Logo