Misure di sicurezza
Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.
Facendo poi un passo più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.
Secondo questa norma, infatti, il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Per fare questo essi dovranno tenere debitamente conto dell’attuale stato dell’arte (della tecnologica disponibile, dei sistemi informatici, ecc), dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche che può essere più o meno probabile e più o meno alto a seconda di ciascun diverso contesto.
Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Formazione continua: competenze GDPR sempre aggiornate
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
15 Maggio 2024
La conoscenza è oggi elemento fondante delle società ed è la miglior bussola che persone e imprese possano trovare per navigare il cambiamento globale. In questo quadro, la formazione continua acquista..
Sanzionato l’hotel con telecamere che puntavano su proprietà altrui
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
8 Maggio 2024
L'albergatore che vuole installare delle telecamere deve posizionare i cartelli, richiedere il nulla osta all'Ispettorato del lavoro e prestare attenzione anche al cono di ripresa dei suoi device..
Come scrivere una nomina a responsabile del trattamento GDPR
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
7 Maggio 2024
Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme alle norme..
Illecito mantenere attiva l’email aziendale dell’ex dipendente
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
2 Maggio 2024
Trattare illecitamente i dati di due ex dipendenti è costato molto caro ad una società piacentina. In data 25 marzo 2022 due ex dipendenti di un centro riparazioni presentavano un reclamo..
Il datore di lavoro paga i danni privacy causati dal proprio dipendente
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
29 Aprile 2024
Il datore di lavoro risarcisce i danni “privacy” causati da un errore commesso dal proprio dipendente. Anche se è quest’ultimo ad avere violato le (corrette) istruzioni ricevute, ciò non basta a esonerare il datore..
Viola la privacy il sito di e-commerce che ti obbliga a registrarti
News Internet & Cyber Security,News & Eventi,News GDPR Privacy
24 Aprile 2024
Se vi è capitato di essere costretti a registrarvi su una piattaforma di shopping online per fare anche un singolo acquisto, trovandovi poi a ricevere newsletter e offerte promozionali da quel sito, è bene sapere che..
Tutela delle e-mail dei dipendenti e conservazione dei metadati
News & Eventi,News GDPR Privacy
24 Aprile 2024
Nelle ultime settimane, fra consulenti, DPO e vari esperti di GDPR, si è parlato spesso del documento di indirizzo del Garante sulla conservazione dei metadati nella gestione delle e-mail dei dipendenti. Bene. Anzi..
Marketing e intelligenza artificiale, prepariamoci all’AI Act
News & Eventi,News GDPR Privacy
9 Aprile 2024
Spiegato semplice semplice, l'AI Act è un regolamento europeo che ha l’obiettivo di “regolamentare” l’uso dell’intelligenza artificiale. Ripeto: regolamento, non direttiva. Quindi? Quindi, perché diventi..