GDPR – LE PROCEDURE DI PROTEZIONE DEI DATI E LE IDONEE MISURE DI SICUREZZA

Categoria: regole privacy
24 Giugno 2021
G

LE PROCEDURE DI PROTEZIONE DEI DATI DEL GDPR

Sono, principalmente:

  1.  la valutazione d’impatto  (C84, 89-93, 95 e art. 35)
    una procedura mediante cui il titolare, prima di eseguire un particolare trattamento ne analizza la natura, l’oggetto, il contesto e le finalità e ne valuta poi la necessità, la proporzionalità e i rischi in modo da disporre infine idonee misure di sicurezza

    La valutazione d’impatto è particolarmente richiesta nei seguenti casi:

    • valutazione sistematica e globale di aspetti personali con trattamento automatizzato, compresa la profilazione, su cui si fondano decisioni ed effetti giuridici sulle persone
    • trattamento su larga scala di categorie particolari di dati personali art. 9.1 o di dati art. 10 (condanne penali e reati)
    • sorveglianza sistematica su larga scala di una zona accessibile al pubblico
    • ulteriori eventuali tipologie di trattamenti indicate dal Garante
    • La valutazione deve quanto meno contenere:
    • una descrizione sistematica dei trattamenti e delle relative finalità, nonchè, ove applicabile, l’interesse legittimo perseguito dal titolare
    • l’analisi su necessità e proporzionalità dei trattamenti e relative finalità
    • l’analisi dei rischi per i diritti e le libertà degli interessati
    • le misure previste per i rischi, le garanzie, la sicurezza e i meccanismi di protezione dei dati personali e di conformità al GDPR
  2.  la consultazione preventiva  (art. 36)
    è una procedura mediante cui il titolare, prima di procedere al trattamento, consulta il Garante privacy nel caso in cui la valutazione d’impatto art. 35 indichi un rischio elevato in assenza di idonee misure di sicurezza
  3.  la valutazione dei rischi  (C83, GDPR art. 32.2)
    una procedura periodicamente aggiornata con cui il titolare analizza, valuta e revisiona la sicurezza dei dati e dei relativi trattamenti tenendo conto della probabilità e gravità dei rischi di perdita, modifica, distruzione, divulgazione non autorizzata o accesso accidentale o illegale riguardo ai dati trasmessi, conservati o comunque trattati

 

LA RESPONSABILITA’ DEL TITOLARE

Per il C74 del GDPR,è  il titolare  ad avere  la responsabilità generale sui propri trattamenti , compresi quelli eseguiti dai propri responsabili

Pertanto,  è il titolare a dover gestire  le procedure di  valutazione dei rischi  e la  individuazione  e  attuazione  delle necessarie misure

Riguardo alla  entità di tale responsabilità del titolare , il C75 parla di rischi in grado di cagionare un  danno fisico, materiale o immateriale   di varia probabilità e gravità  per i diritti e le libertà degli interessati, e ciò in particolare quando:

  • il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro significativo danno economico o sociale
  • gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o è loro impedito l’esercizio del controllo sui dati personali che li riguardano
  • il trattamento riguarda dati particolari che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati su salute, vita sessuale, condanne penali, reati o relative misure di sicurezza
  • il trattamento può determinare valutazioni di aspetti personali, analisi o previsione di aspetti su rendimento professionale, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento, ubicazione o spostamenti, al fine di creare o usare profili personali
  • sono trattati dati di persone fisiche vulnerabili come nel caso di minori
  • il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati

 

LA RILEVAZIONE DEL RISCHIO PRIVACY PER GLI INTERESSATI

Il C76 ricorda che la  probabilità  e  gravità del rischio  o  del rischio elevato  per i diritti e le libertà dell’interessato vanno determinate in base a  natura, ambito di applicazione, contesto e finalità  del trattamento

Il C77 poi indica che  il titolare ,  per attuare   le necessarie e opportune misure  e  per dimostrare   la conformità  di individuazione dei rischi sui trattamenti, valutazione di origine, natura, probabilità e gravità, e individuazione delle migliori prassi per attenuare il rischio, potrebbe orientarsi mediante codici di condotta approvati, certificazioni approvate e linee guida dell’EDPB, il Comitato UE di protezione dei dati (che tra l’altro, potrebbe pubblicare linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà degli interessati, nonché, le misure sufficienti a far fronte a tale rischio)

Il C78, infine, indica che  il titolare adotti misure tecniche e organizzative adeguate , che garantiscano il rispetto delle disposizioni del GDPR, nonchè, politiche interne e misure di protezione dei dati fin dalla loro progettazione e protezione di default

 

LA TABELLA DI CALCOLO DEL RISCHIO PRIVACY

 

L’ACCONTABILITY DEL TITOLARE

Il GDPR art. 5.2 indica il principio della c.d.  accountability  o  responsabilizzazione , secondo cui  il titolare è competente  per il rispetto dei principi di trattamento (art. 5.1)  ed è in grado di comprovarlo 

Questo di fatto indica che  è il titolare a determinare le misure tecniche e organizzative  necessarie per garantire la protezione dei dati personali, salvo poi comprovarne la conformità alle disposizioni del GDPR

 

ALCUNE DELLE PRINCIPALI MISURE CHE SI POTREBBERO ADOTTARE

Il GDPR art. 32.1, delineando una sorta di  processo della sicurezza del trattamento , dispone che  il titolare , nel mettere in atto “misure tecniche e organizzative” che garantiscono un livello di sicurezza adeguato al rischio,  tiene conto  “dello  stato dell’arte  e dei  costi di attuazione , nonché della  natura , dell’ oggetto , del  contesto  e delle finalità del trattamento, come anche  del rischio di varia probabilità e gravità  per i diritti e le libertà delle persone fisiche” (v. anche il C83)

In sostanza, quindi,  riguardo ad un trattamento di dati personali   il titolare :

  • punta  allo “stato dell’arte” , cioè  ad aggiornate soluzioni d’avanguardia 
  • tiene conto di  costi  e  fattori  (la  natura , l’ oggetto , il  contesto  e le  finalità )
  • ne individua  gli indici  di  probabilità  e  gravità di ciascun rischio 
  • ne calcola  il relativo rischio privacy   per gli interessati  (es. con tabella del tipo suindicato)
  • ne ricerca  le relative misure   idonee a minimizzare   quel rischio 
  • e ne aggiorna  sul registro dei trattamenti   il valore di rischio così minimizzato 

In quanto alle  misure da adottare , esse  “comprendono, tra le altre, se del caso”: 

  1. la  pseudonimizzazione e cifratura  dei dati personali
  2. la capacità di  assicurare su base permanente  riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento
  3. la capacità di  ripristinare tempestivamente  disponibilità e accesso ai dati in caso di incidente fisico o tecnico
  4. una procedura per  testare, verificare e valutare regolarmente  l’efficacia delle misure tecniche e organizzative a garanzia della sicurezza del trattamento

Questo dell’art. 32 è chiaramente un elenco esemplificativo e non esaustivo delle misure di sicurezza che il titolare dovrebbe prendere in considerazione; altre tipiche misure potrebbero essere, ad es.:

  • autenticazione degli utenti
  • gestione delle autorizzazioni
  • tracciamento degli accessi
  • sicurezza delle postazioni fisiche di lavoro
  • protezione dei locali fisici
  • sensibilizzazione e formazione del personale
  • istruzioni chiare e precise
  • adozione di procedure standard
  • pianificazione di controlli interni periodici
  • adesione a codici di condotta o meccanismi di certificazione
  • brute e penetration test periodici
  • analisi sistematica dell’operato dei responsabili
  • analisi della qualità dei dati e minimizzazione dei dati trattati
  • anonimizzazione o cifratura dei dati trattati
  • adeguata conservazione dei dati trattati
  • policy fisiche e logiche, aggiornamenti HW / SW, ecc.
  • gestione ruoli, governance, istruzioni, procedure, audit, controlli, ecc.
  • ridurre al minimo il trattamento di dati personali
  • offrire trasparenza sulle funzioni e sul trattamento di dati
  • consentire all’interessato di controllare il trattamento dei dati
  • consentire al titolare di creare e migliorare caratteristiche di sicurezza
  • ecc. ecc.

Altri articoli che potrebbero interessarti