Il «triangolo» della protezione dei dati – parte II

Parliamo ancora delle implicazioni legali, organizzative e informatiche legate all’applicazione del Regolamento europeo sulla protezione dei dati personali in riferimento al “Triangolo della protezione dati” rappresentato in figura.

Accountability: Il Titolare deve assicurarsi di trattare i dati in modo lecito, corretto, trasparente e per finalità determinate; deve garantire che i dati siano adeguati, pertinenti ed esatti; deve conservarli e trattarli in modo da garantire loro un adeguato livello di protezione (aspetti legali). Il principio di responsabilizzazione richiede al Titolare di mettere in atto misure tecniche (aspetti informatici) e organizzative adeguate (aspetti organizzativi) per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

Gestione del Rischio: Il Regolamento impone l’obbligo della valutazione e della gestione del rischio. La mappa del rischio aziendale deve quindi tener conto dei rischi associati ai trattamenti dei dati personali e delle strategie intraprese per modificarne il profilo: è necessario, per esempio, tenere conto dell’eventualità di distruzione accidentale (aspetti organizzativi) o illegale dei dati (aspetti legali), di errori umani (aspetti organizzativi), della possibilità di accessi non autorizzati, dei rischi connessi alla trasmissione e all’archiviazione dei dati  o all’assenza di adeguate misure di sicurezza (aspetti informatici).

Diritto alla portabilità dei dati: Il diritto alla portabilità dei dati, esercitabile quando i dati sono trattati con mezzi automatizzati, rafforza il controllo degli interessati sulle proprie informazioni personali (aspetti legali) e ha un considerevole impatto a livello organizzativo, perché il Titolare dovrà predisporre le procedure e dotarsi di misure che gli permettano di rispondere tempestivamente ed esaurientemente alle richieste degli interessati (aspetti organizzativi). Questo nuovo diritto degli interessati ha una importante ricaduta a livello informatico: nelle situazioni in cui l’esercizio del diritto è consentito, sarà necessario adeguare le applicazioni esistenti e progettarne di nuove, tenendo presente che il diritto potrà essere fatto valere in qualsiasi momento (aspetti informatici).

Privacy by design e privacy by default: I concetti di privacy by design e privacy by default spostano il focus della privacy dagli aspetti legali e normativi a quelli legati all’organizzazione ed all’informatica. Titolari e/o Responsabili, infatti, devono adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità dei dati. Inoltre, sempre, per impostazione predefinita, non dev’essere consentito l’accesso ai dati personali a un numero indefinito di persone fisiche senza l’intervento umano (aspetti organizzativi). Sistemi e applicazioni devono essere progettati e configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite possono essere realizzate mediante, rispettivamente, dati pseudonimizzati o minimizzati o comunque con modalità che permettano di identificare l’interessato solo in caso di necessità (aspetti informatici).

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/