La sicurezza dei dati personali nel GDPR
HTML-код
- Опубликовано: 14 сен 2019
- Visita il nostro sito qui
www.grupporemark.it/consulenz...
Ciao.
Sono Anna Maria Lucà, avvocato, specialista in privacy compliance. Collaboro con il gruppo Remark nell’ambito della sicurezza aziendale; infatti, anche la privacy, la cui disciplina è obbligatoria, rientra nell’ambito della sicurezza dell’azienda.
In questa serie di video vedremo il rischio aziendale per chi non predispone, all’interno della propria azienda, la documentazione privacy secondo quanto previsto dal Regolamento europeo, GDPR, entrato in vigore in tutta Europa il 25 maggio dello scorso anno.
In questo video analizziamo la sicurezza dei dati personali.
Il Regolamento europeo in materia di protezione dei dati “Sicurezza del trattamento” indica gli obblighi per il titolare e per il responsabile del trattamento nonché i requisiti necessari per trattare dati personali.
L’art. 32 recita: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”
Si ha, quindi, nella protezione dei dati personali, un approccio basato sul rischio.
Per valutare i rischi si partirà da una prima valutazione qualitativa cioè una valutazione senza considerare i controlli e le misure di sicurezza applicate.
Per fare questo, andremo a individuare le tipologie e le quantità dei dati coinvolti nelle diverse attività di trattamento, in base a questi dati, per ogni trattamento, andremo poi ad individuare/definire i rischi potenziali, che potrebbero derivare agli interessati dalla perdita di sicurezza dei dati.
Saremo in grado, in questo modo, di individuare i punti di attenzione su cui focalizzare la nostra analisi ed i nostri interventi di sicurezza.
In base alle misure di sicurezza applicate e ai controlli eseguiti nel trattamento, andremo a ridurre la probabilità e/o frequenza di accadimento e/o l’impatto per le varie tipologie di rischio analizzate.
Le misure di sicurezza applicate devono essere: effettive, efficaci, monitorate, controllate periodicamente, valutate in modo oggettivo, mantenendo traccia dell’attività eseguita.
Una volta individuati i rischi andremo a individuare soluzioni tecniche ed organizzative che consentano di ridurre eventuali rischi elevati e sottoporle all’approvazione del Titolare.
Per ogni soluzione dovranno essere definiti i tempi di attuazione, il rischio previsto dopo l’intervento ed eventuali costi, per consentire la scelta degli interventi in linea con le politiche aziendali.
Periodicamente o per ogni scadenza delle attività svolte, verranno verificati gli interventi eseguiti e riaggiornata l’analisi dei rischi.
Ma quali sono le misure di sicurezza applicabili?
Non esiste più un elenco di misure di sicurezza da applicare come era previsto nella precedente normativa nazionale (il codice privacy); oggi, ogni azienda, è guidata dal principio di responsabilizzazione (o Accountability) che richiede che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento è effettuato in conformità al Regolamento.
Come detto non esiste un elenco normativo di misure di sicurezza da adottare, ma ogni azienda dovrà porre in essere quelle misure di sicurezza che fino allo scorso anno garantivano la sicurezza dei dati, implementando le diverse misure in base alle proprie personali esigenze e necessità.
Le misure di sicurezza tra le quali occorre scegliere da porre in essere sono:
- le procedure di autenticazione (user + password);
- gestione delle credenziali (complessità e scadenza della password);
- profili di autorizzazione;
- protezione degli strumenti informatici (antivirus sempre aggiornato);
- prevenzione di rischi di intrusione (screesaver e firewall);
- formazione degli incaricati al trattamento;
- istruzioni scritte delle attività autorizzate dal titolare…
Come è facile intuire la privacy, oggi, è un abito sartoriale cucito su misura ad ogni realtà operativa.
Nel prossimo video parleremo di Data breach
Per non perdere nessuna puntata, iscriviti subito a questo canale.
Visita il nostro sito qui
www.grupporemark.it/consulenz...
#GDPR #DatiPersonali #GruppoRemark
=======================================================
* Iscriviti al mio Canale qui ruclips.net/user/GruppoRe...
* Visita il mio sito
www.grupporemark.it/
* Seguimi anche su Facebook
/ consulentesicurezza
* Mi trovi anche su LinkedIn
/ luca-veneri-221a792b
