Posts

Il «triangolo» della protezione dei dati – parte II

/in /by

Parliamo ancora delle implicazioni legali, organizzative e informatiche legate all’applicazione del Regolamento europeo sulla protezione dei dati personali in riferimento al “Triangolo della protezione dati” rappresentato in figura.

Accountability: Il Titolare deve assicurarsi di trattare i dati in modo lecito, corretto, trasparente e per finalità determinate; deve garantire che i dati siano adeguati, pertinenti ed esatti; deve conservarli e trattarli in modo da garantire loro un adeguato livello di protezione (aspetti legali). Il principio di responsabilizzazione richiede al Titolare di mettere in atto misure tecniche (aspetti informatici) e organizzative adeguate (aspetti organizzativi) per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

Gestione del Rischio: Il Regolamento impone l’obbligo della valutazione e della gestione del rischio. La mappa del rischio aziendale deve quindi tener conto dei rischi associati ai trattamenti dei dati personali e delle strategie intraprese per modificarne il profilo: è necessario, per esempio, tenere conto dell’eventualità di distruzione accidentale (aspetti organizzativi) o illegale dei dati (aspetti legali), di errori umani (aspetti organizzativi), della possibilità di accessi non autorizzati, dei rischi connessi alla trasmissione e all’archiviazione dei dati  o all’assenza di adeguate misure di sicurezza (aspetti informatici).

Diritto alla portabilità dei dati: Il diritto alla portabilità dei dati, esercitabile quando i dati sono trattati con mezzi automatizzati, rafforza il controllo degli interessati sulle proprie informazioni personali (aspetti legali) e ha un considerevole impatto a livello organizzativo, perché il Titolare dovrà predisporre le procedure e dotarsi di misure che gli permettano di rispondere tempestivamente ed esaurientemente alle richieste degli interessati (aspetti organizzativi). Questo nuovo diritto degli interessati ha una importante ricaduta a livello informatico: nelle situazioni in cui l’esercizio del diritto è consentito, sarà necessario adeguare le applicazioni esistenti e progettarne di nuove, tenendo presente che il diritto potrà essere fatto valere in qualsiasi momento (aspetti informatici).

Privacy by design e privacy by default: I concetti di privacy by design e privacy by default spostano il focus della privacy dagli aspetti legali e normativi a quelli legati all’organizzazione ed all’informatica. Titolari e/o Responsabili, infatti, devono adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità dei dati. Inoltre, sempre, per impostazione predefinita, non dev’essere consentito l’accesso ai dati personali a un numero indefinito di persone fisiche senza l’intervento umano (aspetti organizzativi). Sistemi e applicazioni devono essere progettati e configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite possono essere realizzate mediante, rispettivamente, dati pseudonimizzati o minimizzati o comunque con modalità che permettano di identificare l’interessato solo in caso di necessità (aspetti informatici).

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

Il «triangolo» della protezione dei dati – parte I

/in /by

Il Regolamento affronta la questione della sicurezza dei dati personali in modo sistemico, chiedendo a Titolari e Responsabili, tra le altre cose, di interessarsi della gestione dei rischi legati al trattamento e invitandoli ad adottare codici di condotta e certificazioni.

Le norme internazionali ISO 29100:2011 e 27001:2013, che definiscono rispettivamente i requisiti per l’implementazione di un framework privacy e delle politiche di sicurezza aziendale, forniscono utili indicazioni e validi strumenti per l’implementazione di un adeguato sistema privacy.

Il Codice Privacy, rispondendo alle sollecitazioni di un contesto profondamente diverso, poneva particolare attenzione agli aspetti legali delle operazioni di trattamento e trattava gli aspetti informatici (misure minime) nell’Allegato B, occupandosi in modo assai limitato degli aspetti organizzativi connessi al trattamento dei dati personali; il Regolamento cambia la prospettiva e impegna le aziende a costruire una visione d’insieme della protezione dei dati personali trattati, alla quale tutte le funzioni aziendali sono chiamate a collaborare.

La strada tracciata dalla normativa prevede infatti che le operazioni di trattamento dei dati personali siano “disegnate”, “costruite”, “controllate” e, ove possibile, rese più efficaci ed efficienti tramite l’ausilio di specifiche politiche, procedure, processi e strumenti.

Il metodo richiamato è quello tipicamente utilizzato dalle imprese per la messa a punto di un qualsiasi sistema di gestione aziendale e rende necessario affrontare e armonizzare aspetti legali, organizzativi e informatici.

Gli obblighi di Titolare e Responsabile del Trattamento hanno infatti implicazioni per ciascuno dei tre lati (legale, organizzativo, informatico) che delimitano la figura del “Triangolo della Protezione Dati”: molte attività che impegneranno le aziende nei prossimi mesi incidono su più lati del triangolo e dovranno essere condotte in modo sistemico.

Vediamo in che modo è possibile inserire nello schema proposto alcuni aspetti del Regolamento: per ragioni di leggibilità, affrontiamo oggi il tema del diritto all’oblio, rimandando al prossimo articolo per ulteriori analisi.

Diritto all’oblio: Con l’introduzione del cosiddetto diritto all’oblio, qualora ricorrano le condizioni previste dal Regolamento, gli interessati potranno ottenere la cancellazione dei propri dati personali, anche quelli on line, da parte del Titolare. A questo diritto è associato il dovere, per il Titolare che abbia resi pubblici dati personali e abbia l’obbligo di cancellarli, d’intraprendere le azioni necessarie per informare –  tutti i Titolari che stanno trattando tali dati – della richiesta dell’interessato di cancellare ogni link, copia o riproduzione dei suoi dati personali, nei limiti delle tecnologie disponibili e dei costi di attuazione (aspetti legali). Per gestire la richiesta di cancellazione dei dati personali dal Titolare, quest’ultimo dovrà implementare processi organizzativi in grado di verificare in primo luogo la legittimità della richiesta (aspetti organizzativi). Il diritto alla cancellazione dei dati presuppone l’implementazione di processi o applicazioni in grado di gestire e cancellare tutti i link, copie o riproduzioni dei dati personali di cui è stata richiesta la cancellazione (aspetti informatici).

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/