Misure di sicurezza
Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.
Facendo poi un passo più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.
Secondo questa norma, infatti, il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Per fare questo essi dovranno tenere debitamente conto dell’attuale stato dell’arte (della tecnologica disponibile, dei sistemi informatici, ecc), dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche che può essere più o meno probabile e più o meno alto a seconda di ciascun diverso contesto.
Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Marketing e GDPR: come scegliere i responsabili esterni?
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
15 Dicembre 2023
Secondo il GDPR, la scelta del responsabile esterno deve essere consapevole, anche per quanto riguarda il marketing. Il titolare del trattamento non può non sapere quali sono gli strumenti social e gli strumenti..
La gestione degli asset, sicurezza e compliance in azienda
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
22 Novembre 2023
Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate..
Facebook e Instagram: privacy e servizio premium
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
16 Novembre 2023
È lecito pagare per non essere oggetto di marketing “targhettizzato”? L’annuncio di Meta di voler chiedere agli utenti un pagamento per non essere fatti oggetto di profilazione ha delle conseguenze giuridiche enormi e deve portarci a riflettere..
Il Garante della Privacy censura l’ente con i vecchi modelli di cartelli
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
8 Novembre 2023
Come noto, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”..
Quanto è sicuro trasferire dati personali via mail?
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
2 Novembre 2023
L’email costituisce uno dei vettori più utilizzati per condurre attacchi informatici. Sicuramente si può intervenire per mitigarne la vulnerabilità, ma non è solo questo il problema quando ci si riferisce alla sicurezza del trasferimento..
Tra GDPR e Statuto dei lavoratori: sotto la lente del Garante
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
31 Ottobre 2023
Nell’attuale contesto dell’era digitale, l’intersezione tra la protezione dei dati personali e i diritti dei lavoratori riveste un ruolo di crescente importanza all’interno degli ambienti lavorativi. Le tecnologie avanzate hanno rivoluzionato la raccolta..
Man-in-the-mail: quando le minacce arrivano dalla posta elettronica
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
25 Ottobre 2023
a continua evoluzione degli strumenti di pagamento, grazie all’aumento della velocità e rapidità degli scambi, ha contribuito ad innalzare vertiginosamente il volume globale dell...
Whistleblowing e GDPR: ecco perché essere accountable è bello
News & Eventi,News GDPR Privacy
24 Ottobre 2023
Con il decreto legislativo 10 marzo 2023 n. 24 è stata data attuazione, all'interno del nostro ordinamento, alla direttiva (UE) 2019/1937 in materia di persone che segnalano violazioni del diritto dell'Unione e..