Articolo 32 GDPR
Sicurezza del trattamento
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. - Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
- L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
- Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
SPIEGAZIONE
L’articolo 32 GDPR impone hai titolari di mettere in atto misure idonee a garantire l’osservanza dei principi di protezione dei dati personali, ponendo particolare attenzione ai “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (art. 24 GDPR). Nelle pratica, i titolari devono identificare e valutare ogni rischio per i diritti e le libertà degli interessati, si parla del c.d. approccio basato sul rischio. Con tale espressione si identifica la modalità con cui il titolare del trattamento svolge il trattamento dei dati consapevole, e in modo di prevenire, i possibili rischi.
La valutazione del rischio implica un insieme di attività finalizzate a guidare il titolare di fronte ai rischi identificati. Il titolare deve eseguire una valutazione di impatto (DPIA data protection impact assessment) obbligatoriamente per quei trattamenti che possono presentare un rischio elevato, e non quindi per ogni singolo trattamento posto in essere. La valutazione del rischio è esplicitamente prevista dall’art. 35 GDPR.
L’articolo 32 spiega che, nell’attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, si dovrebbe prendere in considerazione la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, oltre alla capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Quanto ai parametri di valutazione delle misure, il Regolamento stabilisce che il titolare deve tener conto:
- dello stato dell’arte;
- dei costi di attuazione;
- della natura del trattamento;
- dell’oggetto del trattamento;
- del contesto del trattamento;
- delle finalità del trattamento;
- della gravità del rischio per i diritti e le libertà delle persone fisiche stimato.
Bisogna, infine, fare un’ultima distinzione: quella tra: misure organizzative e tecniche.
Si intendono misure organizzative, misure come:
- la definizione di un modello organizzativo data protection dell’azienda;
- la segregazione dei ruoli interni delle organizzazioni complesse;
- l’impianto documentale del titolare (come il registro del trattamento, il corpus di informative del trattamento ecc.)
- l’attuazione di politiche e procedure in materia di protezione dei dati personali nell’ambito dello specifico contesto di riferimento in cui il titolare si trova ad operare i trattamenti.
Sono da considerare misure tecniche le seguenti:
- la pseudonimizzazione. Si tratta di una misura idonea a rendere i dati non attribuibili a un interessato specifico senza l’utilizzo di informazioni addizionali conservate separatamente;
- la cifratura, cioè la modalità di conservazione del testo originale in una sequenza di lettere, numeri e segni che solo la persona in possesso della corretta chiave di decifratura potrà riconvertire nel file di testo originale;
- l’adozione di misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- procedure volte a verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.
Rimani aggiornato, segui la nostra pagina Facebook!
Pagina creata da FreeAttitude.net