GDPR 2016/679 – 5 “semplici” regole

Del nuovo regolamento UE 2016/679 (RGPD o GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati, abbiamo già parlato qualche settimana fa : goo.gl/tVe5MY

A partire dal prossimo 25 maggio 2018, le aziende saranno chiamate a prestare maggiore attenzione nel trattamento dei dati aziendali e dovranno individuare un responsabile della protezione dei dati con una serie di obblighi informativi relativi anche gli standard di sicurezza e i rischi legati all’eventuale diffusione di dati.

Le PMI al di sotto dei 250 dipendenti, senza alcuna distinzione di fatturato, non sono obbligate a tenere il registro delle attività ma devono sempre rispettare le seguenti 5 regole sulla protezione dei dati :

1. Valutare l’uso di Crittografia e Psedomizzazione. Occorre rendere difficile il collegamento dei dati, mascherando questi ultimi mediante uno pseudonimo. Quando le informazioni personali che contengono elementi identificativi (nome, data di nascita, indirizzo ecc) vengono pseudonimizzate, gli elementi identificativi sono sostituiti da uno pseudonimo, che si ottiene, per esempio, crittografando gli elementi identificativi contenuti nei dati personali. Bisogna distinguere il dato pseudonimo dal dato anonimo in quanto i dati sono anonimizzati quando non contengono più alcun mezzo identificativo, mentre sono pseudonimizzati se i mezzi identificativi sono criptati. Attenzione, il regolamento non impone sempre e comunque l’uso della crittografia ma obbliga a valutare caso per caso quelli che possono essere i rischi inerenti a quello specifico trattamento e attuare, di conseguenza, misure per limitare tali rischi.
2. Assicurare i requisiti generici di sicurezza. Garantire quindi, su base permanente, i requisiti di riservatezza (ovvero la protezione dei dati trasmessi o conservati per evitarne l’intercettazione e la lettura da parte di persone non autorizzate) integrità (come conferma che i dati trasmessi, ricevuti o conservati siano completi e inalterati), disponibilità (come conferma che i dati siano accessibili e i servizi funzionino anche in caso di interruzioni dovute a eventi eccezionali o ad attacchi di pirateria informatica) e di resilienza (come capacità di reazione di un sistema a fronte di un evento che metta a rischio la sicurezza delle informazioni e dei dati trattati) dei sistemi e dei servizi di trattamento.
3. Assicurare la continuità del servizio. Occorre dimostrare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
4. Elaborare efficaci procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5. Fare attenzione ai rischi legati alla distruzione, perdita, modifica, divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Da amante del rischio (inteso come sua valutazione e gestione), desidero trattare ulteriormente l’ultimo punto. Qualsiasi analisi NON può prescindere dalla valutazione dei rischi! E’ importante comprendere il cambiamento di approccio, il regolamento pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili — ossia, sull’adozione di comportamenti pro-attivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. I titolari potranno decidere autonomamente le modalità del trattamento dei dati ma a patto che siano compatibili con la valutazione dei rischi svolta a monte, prima quindi di procedere al trattamento vero e proprio.

Il rischio inerente al trattamento è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati, tali impatti dovranno quindi essere opportunamente analizzati attraverso idonei processi di valutazione.

Potete consultare il testo integrale del regolamento qui : goo.gl/YA1gPZ


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime