Misure di sicurezza
Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.
Facendo poi un passo più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.
Secondo questa norma, infatti, il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Per fare questo essi dovranno tenere debitamente conto dell’attuale stato dell’arte (della tecnologica disponibile, dei sistemi informatici, ecc), dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche che può essere più o meno probabile e più o meno alto a seconda di ciascun diverso contesto.
Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Uso di email e social media: nelle policy aziendali diritti, obblighi e controlli
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
5 Aprile 2022
Le policy aziendali sull’uso dei social network, delle e-mail e in generale degli strumenti informatici sui luoghi di lavoro sono sempre più..
Dieci domande (e dieci risposte) da porsi per scegliere un cloud provider
News & Eventi,News GDPR Privacy
22 Marzo 2022
Grazie al cloud computing nell'ultimo biennio (onde limitare la diffusione del virus covid-19) milioni di individui nel mondo hanno ..
Come deve essere inquadrato come Responsabile del trattamento ai sensi del Gdpr?
News & Eventi,News GDPR Privacy
10 Marzo 2022
Le garanzie devono essere, per quanto possibile, oggetto di verifica, considerando anche i rapporti di forza tra Titolare e Responsabile..
Diritti e attività di audit presso il responsabile del trattamento
News & Eventi,News GDPR Privacy
3 Marzo 2022
Le garanzie devono essere, per quanto possibile, oggetto di verifica, considerando anche i rapporti di forza tra Titolare e Responsabile..
Analisi dei rischi sui dati personali: gli agenti di minaccia a cui prestare attenzione
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
11 Febbraio 2022
In relazione all’approfondimento dell’analisi dei rischi sui dati, in questo articolo si desidera analizzare il concetto di “agente di..
Perdita dati aziendali e personali, cosa si rischia se non si interviene subito
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
9 Febbraio 2022
Cosa significa Disaster Recovery? Di cosa si parla quando sentiamo l'espressione Data Breach? La violazione e la perdita dei dati, tanto..
Sanzione alla società che non disattiva l’email aziendale dell’ex dipendente
News & Eventi,News GDPR Privacy
4 Febbraio 2022
La mancata informativa prevista dall'art. 13 del regolamento europeo unitamente alla violazione dei principi di minimizzazione, necessità e..
Fatturazione elettronica: Il Garante Privacy ha espresso il suo parere
News & Eventi,News GDPR Privacy
28 Dicembre 2021
Il Garante per la protezione dei dati personali ha espresso parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia..