Misure di sicurezza
Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.
Facendo poi un passo più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.
Secondo questa norma, infatti, il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Per fare questo essi dovranno tenere debitamente conto dell’attuale stato dell’arte (della tecnologica disponibile, dei sistemi informatici, ecc), dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche che può essere più o meno probabile e più o meno alto a seconda di ciascun diverso contesto.
Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
MOP: Due diligence e gap analysis
News & Eventi,News GDPR Privacy
22 Ottobre 2024
Un Consulente Privacy o un Privacy Officer, nel momento in cui assume il proprio incarico, è chiamato a verificare se l’organizzazione che lo ha designato disponga di un sistema di gestione della privacy, adeguatamente documentato..
Caso della violazione della privacy dei clienti della banca
News & Eventi,News GDPR Privacy
21 Ottobre 2024
Vincenzo Coviello non verrà dimenticato dagli oltre 3500 clienti che per lui non hanno più segreti, ma nemmeno dalla banca in cui ha lavorato tanti anni con solerzia insuperabile anche più del dovuto. Dopo l’inevitabile crocifissione mediatica..
Intelligenza artificiale: Il futuro del lavoro tra superintelligenza e singolarità
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
20 Settembre 2024
Gli studiosi di fisica utilizzano il termine singolarità gravitazionale per indicare il punto dello spazio-tempo in cui il campo gravitazionale ha un valore infinito (per es., i buchi neri). Nell’ambito..
Chat di classe: ecco le regole da rispettare – Intervista ad Agostino Ghiglia
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
11 Settembre 2024
La bacchettata del Garante della privacy, alla vigilia del ritorno in classe, è chiara: «Se si vuol condividere su internet o sui social serve il consenso dei genitori degli altri minori che appaiono nelle immagini..
Oblio oncologico, dal Garante Privacy informazioni utili per cittadini e imprese
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
26 Agosto 2024
Che cos’è il diritto all’oblio oncologico? Le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una..
Intelligenza artificiale e lavoro: controllo umano e trasparenza per non danneggiare i diritti
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
19 Luglio 2024
Il più delle volte per rappresentare un futuro catastrofico nel quale le macchine sostituiranno l’uomo. Le ricerche più autorevoli, al contrario, dimostrano come l’Ia stia certo trasformando il mondo del..
Attenzione alla privacy con i siti di conversione dei file in pdf
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
18 Luglio 2024
Ogni giorno milioni di utenti utilizzano servizi online per la conversione dei file PDF per lavoro o per svago, ignari che alcuni di questi siti potrebbero essere dei veri e propri colabrodo per i dati sensibili..
Garante Privacy, no al software che monitora le prestazioni dei lavoratori in maniera dettagliata
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
17 Luglio 2024
È illecito l’utilizzo, da parte di un datore di lavoro, di un software che monitora le prestazioni dei dipendenti in maniera dettagliata, registrando i tempi e le..