Ogni organizzazione che ha a che fare con la gestione e archiviazione di dati personali relativi a persone residenti nell’Unione Europea deve rispettare il cosiddetto GDPR. Questo Regolamento generale sulla protezione dei dati è utile a dare uno standard operativo in tutti i paesi dell’UE e a fornire un controllo più efficiente dei materiali sensibili.
Il passaggio dalla precedente regolamentazione del codice della privacy al GDPR ha portato diversi cambiamenti. Primo fra tutti una maggiore importanza del titolare del trattamento. Il titolare, responsabile dell’attuazione delle misure di sicurezza per i dati personali, deve valutare oggettivamente l’entità dei rischi per i diritti dell’interessato.
Il titolare, con l’odierno GDPR, è tenuto a effettuare quindi una risk based analisi e attuare la più conveniente azione protettiva.
Se prima l’approccio alla gestione dei dati personali era un procedimento burocratico prefissato, che costringeva il titolare del trattamento a seguire delle misure ben precise, oggi l’approccio è più manageriale.
Il titolare si impegna secondo il GDPR a valutare i rischi e mettere in atto azioni adeguate all’entità di esso, determinando a seguito di una precisa analisi ogni misura tecnico-organizzativa necessaria.
Le azioni per la protezione dei dati devono essere inserite obbligatoriamente nel Registro delle Attività di Trattamento (art. 30, lett.g). Nel fare ciò, il titolare mette in campo il proprio potere decisionale, applicando l’analisi di diverse variabili prese in considerazione in fase di studio del caso.
Il GDPR non fornisce un elenco preciso delle misure da adottare, ma ne segnala alcune.
Fra queste, la cifratura dei dati, la possibilità di fornire una privacy stabile, l’integrità, la resilienza dei sistemi utilizzati, la velocità con la quale i sistemi posso ripristinarsi, e così via. Fra le misure suggerite vi è anche l’attuazione di test per verificare l’efficacia delle azioni preventive di sicurezza.
Nel GDPR vengono anche riportati i rischi nel quale si può incorrere nella fuoriuscita di dati personali. Rischi tutti relativi al procedimento di trattamento di essi: divulgazione non autorizzata, perdita, distruzione, modifica, ed altri.
Queste possibilità vanno ad intaccare quelli che sono i tre punti chiave della sicurezza informatica: l’integrità, la disponibilità e la confidenzialità. Solo con il sostenimento di questi tre punti è possibile una corretta protezione dei dati.
I data breach, ovvero le violazioni dei dati, sono riconducibili a falle in uno di questi tre ambiti.
Diverse possono essere le cause di danni relativi ai dati personali.
Il comportamento degli operatori può facilmente causare lo smarrimento dei dati o la distruzione di essi. È il titolare che deve constatare che il proprio personale lavori con consapevolezza, senza alcuna disattenzione, se non addirittura volontà fraudolente.
Anche gli strumenti informatici utilizzati hanno la propria importanza. Malware e virus possono causare data breach e accessi esterni da parte di malintenzionati. Le macchine messe al servizio delle procedure di privacy dovrebbero essere controllate periodicamente per non correre rischi di malfunzionamento, così come gli impianti elettrici e le connessioni.
A seguito di una violazione il GDPR impone che si notifichi la stessa al Garante, si comunichi la situazione all’interessato e infine si istituisca un registro documentante il data breach, indicando al suo interno le circostanze in cui è avvenuto e le azioni risolutorie messe in atto.
Secondo l’articolo 33 del GDPR il titolare del trattamento deve necessariamente notificare il fatto entro le 72. La notifica però non è sempre obbligatoria, ma sempre soggetta al giudizio del titolare, così come la comunicazione all’interessato.
Input your search keywords and press Enter.