Dal 24 maggio 2016 è in vigore il Nuovo Regolamento UE sul Trattamento dei dati personali che introduce importanti nuove regole a protezione della privacy e si applica a decorrere dal 25 maggio 2018.
Dal 24 maggio 2016 è in vigore il Nuovo Regolamento UE sul Trattamento dei dati personali che introduce importanti nuove regole a protezione della privacy e si applica a decorrere dal 25 maggio 2018.

 Una delle grandi novità del GDPR è l’aver ripensato completamente al sistema di protezione dei dati che il titolare del trattamento deve progettare e implementare nella sua realtà produttiva. I vent’anni precedenti, in base alle regole contenute nella Direttiva 95/46, ci avevano abituato all’idea, innanzitutto, delle misure minime di sicurezza.

I limiti del vecchio Codice della privacy

Le misure minime di sicurezza, contenute nell’Allegato B al Codice Privacy del 2003, prendono la forma di un elenco molto dettagliato di misure, tecniche e comportamenti che il Legislatore ha ritenuto che potessero, se rispettate, garantire appunto un livello minimo di sicurezza in qualsiasi ambiente.

Il grosso limite di simili elenchi di misure minime è facilmente individuabile anche dal non esperto: sono uguali per tutti, per chi tratta pochi dati e per chi ne tratta molti, per chi tratta dati delicatissimi e per chi, invece, tratta dati comuni. Al contempo, per piccole realtà commerciali può essere molto costoso rispettare tutte le misure minime elencate.

E le soluzioni del GDPR

Il Regolamento europeo ha eliminato la nozione di misure minime e ha lasciato un amplissimo margine di libertà al titolare di scegliere quali possano essere le misure di sicurezza adeguate in base al tipo di trattamenti effettuati e di dati trattati.

Da un lato, quindi, il titolare non è più vincolato a un elenco di misure; dall’altro, però, sono previste sanzioni molto più alte nel caso in cui, in questo quadro di libertà, il titolare ne approfitti per non proteggere le informazioni e per non rispettare le regole.

I cardini del nuovo sistema

Questo nuovo sistema si basa su alcuni principi cardine che sono ineludibili. I primi tre sono, certamente,

- la necessità di un’analisi del rischio

- la stretta connessione con la migliore tecnica e i costi da supportare

- la comprensione e l’applicazione costante della nozione di “accountability”.

Analisi del rischio

Il primo punto, la necessità di un’analisi del rischio, è molto lineare da comprendere: se non vengono fornite regole specifiche, occorre, prima di scegliere come operare, analizzare i rischi reali che i dati che si trattano, e gli interessati a loro riferiti, possono soffrire.

In questo caso, occorre rappresentarsi prima tutti i rischi possibili – che variano molto a seconda del “peso” del dato che viene trattato – e da quella analisi si prendono le mosse per predisporre un insieme di misure adeguate di sicurezza.

L’analisi del rischio può essere un procedimento estremamente semplice o, al contrario, particolarmente complesso in quanto è strettamente legato ai tipi di dati che sono trattati, alla molteplicità (o meno) di trattamenti e ai rischi che corrono gli interessati in caso di attacco alle loro informazioni. Realtà che trattano dati ad alto rischio (cliniche, ospedali, laboratori medici) dovranno fare un’analisi estremamente curata e specifica; realtà che, invece, trattano soprattutto dati comuni, avranno ovviamente analisi del rischio più semplici da completare.

Commisurazione alla “forza commerciale”

Il secondo punto, l’attenzione ai costi e allo stato dell’arte della tecnica, è altrettanto interessante.

Il Regolamento, in più punti, ribadisce che tutto il sistema di protezione dei dati disegnato dal provvedimento europeo deve sempre tenere presente i costi (ossia la capacità che ha un’azienda o un ente di investire denaro per la compliance) e i migliori strumenti tecnici e informatici disponibili sul mercato. Tutti gli sforzi per proteggere i dati non devono arrivare a minare l’economia e i bilanci dell’azienda, ma devono sempre essere accuratamente calibrati con la realtà economica effettiva.

Per la prima volta, quindi, si specifica che ogni azione per la protezione dei dati debba essere commisurata alla “forza commerciale” e alla capacità di investire della singola realtà. Questo porterà un vantaggio soprattutto in quelle realtà che hanno budget limitati.

Principio della accountability

Infine, tutto il sistema deve essere visto sotto due aspetti, al fine di rispettare anche il principio della accountability: non solo gli adempimenti devono esser concretamente svolti (“sostanza”) ma tutto ciò che viene fatto deve essere anche formalmente verificabile (“verificabilità”), sia dall’interno, sia da eventuali operazioni di auditing esterno. Ciò comporta la necessità di tenere traccia di qualsiasi operazione effettuata in un’ottica di protezione dei dati, al fine di poter ripercorrere in maniera obiettiva, in ogni momento, il percorso seguito e di valutare i risultati.

L’Articolo 32 del GDPR, infine, è quello più importante con riferimento all’implementazione di misure di sicurezza vere e proprie e intese nel senso stringente del termine.

Questa norma stabilisce come, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Esempi di misure di sicurezza

Nonostante sia stato abbandonato l’approccio delle misure minime, con elenchi molto dettagliati, l’articolo prevede comunque quattro esempi di misure:

1) la pseudonimizzazione e la cifratura dei dati personali

2) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

3) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico

4) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Da un lato, quindi, è stato abbandonato un elenco tassativo e dettagliato di misure di sicurezza minime; dall’altro, al contempo, è il Legislatore stesso a fornire suggerimenti utili sugli obiettiviche le misure dovrebbero aiutare a raggiungere, con riferimento, in particolare, a riservatezza, integrità e disponibilità costante del dato.

Area Riservata ai Clienti
Partners
Notizie economiche
Links
Leggi tutto
© 2016 - Civita Lavoro srl, Viale della libertà, 47 - 73100 Lecce
P.I. 04475330751 - Iscr. Reg. Imp Lecce - REA LE N. 294508 - Cap. Soc. 10.000 euro i.v.
Tel. 0832.397118 – 0832.312423 - 0832.397119 - Fax 0832.316472 - E-mail: dott.massimogiosa@clio.it
Design, testo, grafica, selezione e layout del presente Sito Web sono riservati. - Tutti i diritti sono riservati - Area riservata