Blog

Riskbased.jpg

GDPR: l'approccio risk-based e la notifica di violazione

Un primo riferimento del GDPR alla tipologia di misure tecniche e organizzative da adottare è contenuto nell’art. 22. La dimostrazione dell’utilizzo corretto delle misure di sicurezza, in conformità con il regolamento, ricade sul titolare del trattamento dei dati personali ed è alla base del nuovo approccio preposto dal GDPR definito con il termine di accountability.

La predisposizione delle misure idonee a garantire un livello di sicurezza adeguato al rischio, è affrontata specificatamente nell’art. 32. Questa predisposizione deve tenere conto della situazione attuale dell'azienda, della tecnologia disponibile, delle finalità del trattamento dei dati e dei costi di attuazione.

Nello specifico, alcune delle misure che il titolare del trattamento dei dati può concretamente adottare sono:

  • La pseudonimizzazione, cioè il trattamento dei dati personali in modo tale che gli stessi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. La finalità è di garantire che i dati personali non possano essere attribuiti a una persona fisica identificata o identificabile;
  • La cifratura dei dati personali in un codice, o algoritmo di crittografia, che solo la persona con la corretta chiave può decifrare;
  • Capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
  • Procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il responsabile del trattamento, nell’ottemperamento delle norme richieste dal GDPR, dovrà quindi:

  • Predisporre una metodologia di analisi dei rischi e un processo di privacy by design/default;
  • Trovare adeguate contromisure da adottare in funzione di tutti i parametri indicati nell’art 32;
  • Sistemi che dovranno gestire il periodo di conservazione dei dati, la richiesta di rettifica, cancellazione o limitazione, dopo il termine stabilito;
  • Stabilire procedure di verifica periodica delle misure adottate.


Pubblicato da Riccardo Brambilla in data 28/03/2018