Misure di sicurezza
Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.
Facendo poi un passo più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.
Secondo questa norma, infatti, il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Per fare questo essi dovranno tenere debitamente conto dell’attuale stato dell’arte (della tecnologica disponibile, dei sistemi informatici, ecc), dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche che può essere più o meno probabile e più o meno alto a seconda di ciascun diverso contesto.
Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il privato può installare la telecamera per scoprire chi danneggia l’auto parcheggiata sulla via
News & Eventi,News GDPR Privacy
7 Agosto 2023
Via libera all’installazione di una telecamera che inquadra la propria macchina, parcheggiata sulla pubblica via, per scoprire l’autore di ripetuti danneggiamenti...
La rilevazione dell’impronta digitale del lavoratore utilizzata solo per snellire la rilevazione delle presenze non è conforme al GDPR
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
1 Agosto 2023
Come noto il GDPR dopo aver definito il dato biometrico (art. 4, n.14) come il dato personale ottenuto da un trattamento tecnico...
Centro medico scambia dati e informazioni sanitarie di due pazienti omonimi: sanzione del Garante per violazione della Privacy
News & Eventi,News GDPR Privacy
19 Luglio 2023
Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative adeguate per garantire che il trattamento dei dati...
È italiano il nuovo tool gratuito anti-ransomware che riesce a contrastare fino al 94% degli attacchi informatici
News & Eventi,News GDPR Privacy
14 Luglio 2023
Arriva dall’Università di Bologna e di Arpae Emilia-Romagna un nuovo tool gratuito e open-source per contrastare i ransomware con un potenziale di protezione dagli attacchi informatici che...
Email pubblicitarie inviate senza consenso dell’utente, non basta un link per disiscriversi ad evitare la sanzione del Garante Privacy
News & Eventi,News GDPR Privacy
30 Giugno 2023
Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio. Lo ha precisato il Garante privacy nel comminare una sanzione di 10mila euro ad una società...
Il controllo sulla posta elettronica aziendale deve rispettare i diritti del lavoratore
News & Eventi,News GDPR Privacy
28 Giugno 2023
La Corte di Cassazione è tornata nuovamente a pronunciarsi sul tema dei controlli difensivi del datore di lavoro sulla posta elettronica aziendale. Con sentenza n. 18168 depositata il 26 giugno 2023 la Corte, nel confermare l’illegittimità...
Videosorveglianza nei luoghi di lavoro: l’accordo sindacale o l’autorizzazione dell’ispettorato sono imprescindibili condizioni di legittimità del trattamento
News & Eventi,News GDPR Privacy
22 Giugno 2023
Torna a far parlare di sé per le lacune nel rispetto della privacy la casa della moda Hennes & Mauritz dopo che nel 2020 fu sanzionata...
Email marketing & Privacy: come impostare campagne promozionali conformi al GDPR
News & Eventi,News GDPR Privacy
16 Giugno 2023
Nell’era del digitale l’email si conferma come una modalità per fare marketing diretto ancora molto sfruttata dalle aziende, in quanto garantisce risultati molto positivi soprattutto se legata all’utilizzo di attività di profilazione degli utenti.