consulenza legale gdpr

Come affrontare il tema della sicurezza informatica all’interno dell’azienda? Quali misure di sicurezza implementare?

Il nuovo Regolamento 2016/679 (“GDPR”) non dà indicazioni dettagliate su quali misure di sicurezza implementare.
Si tratta di un approccio per certi versi (ma solo in parte) diverso rispetto al Codice Privacy (decreto lgs 196/2003). Il Codice Privacy prevedeva una serie di misure minime di sicurezza obbligatorie (c.d. misure minime di sicurezza) e ne forniva un elenco puntuale. La loro implementazione era obbligatoria: in caso di mancata adozione erano previste pesanti sanzioni amministrative e penali. Il Codice Privacy incoraggiava inolte l’adozione di misure “idonee” a prevenire i rischi connessi con le operazioni di trattamento. Il Titolare del trattamento per evitare di dover rispondere in sede civile per danni da attività pericolosa, doveva dimostrare di aver adottato tutte le misure idonee ad evitare il verificarsi del danno. Le misure minime non erano quindi sufficienti di per sé ad evitare il risarcimento, ma unicamente a scongiurare l’applicazione di sanzioni amministrative e penali.

Cosa prevede il GDPR rispetto alla sicurezza del trattamento?

L’Art. 32 del GDPR “Sicurezza del trattamento” lascia al Titolare e al Responsabile la decisione su quali misure tecniche e organizzative siano idonee a  garantire un livello di sicurezza adeguato al rischio, in virtù del principio di responsabilizzazione (“accountability”). Nello scegliere quali misure adottare, Titolare e Responsabile dovranno tenere  conto dello stato dell’arte e dei costi di attuazione delle misure, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
L’articolo in questione termina raccomandando alcune procedure, indicazioni e misure di sicurezza:

  1. la pseudonomizzazione e cifratura dei dati;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Quali misure adottare in concreto e come orientarsi?

Alcune Autorità garanti europee hanno elaborato delle linee guida in materia di sicurezza informatica che potrebbero costituire un ottimo strumento di supporto.
Tra tutti, il Garante francese per la protezione dei dati personali mette a disposizione sul proprio sito una guida sulla sicurezza, disponibile anche in lingua inglese. E’ possibile scaricarla qui: https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle_gb_web.pdf
La guida è suddivisa in 17 schede informative e contiene una serie di indicazioni precise e puntuali sulle misure di sicurezza implementabili a seconda del tipo di trattamento.

Le schede informative affrontano le seguenti questioni:

– Generare consapevolezza negli utenti che trattano i dati per conto dell’azienda;

– Autenticazione degli utenti;

– Gestire gli accessi ai dati;

– Registrare gli accessi e gestire gli incidenti alla sicurezza dei dati (data breach);

– Mettere in sicurezza le postazioni di lavoro;

– Mettere in sicurezza i dati trattati attraverso device portatili (laptop, mobile, chiavette usb);

– Proteggere la rete interna/aziendale;

– Mettere in sicurezza i server;

– Mettere in sicurezza i siti web;

– Assicurare la disponibilità continua dei dati;

– Archiviare in maniera sicura;

– Sovrintendere alle operazioni di manutenzione e cancellazione/distruzione dei dati;

– Gestione dei responsabili del trattamento;

– Mettere in sicurezza lo scambio di informazioni/dati con altre organizzazioni;

– Misure di sicurezza fisica;

– Sovrintendere allo sviluppo software;

– Crittografia, garantire l’integrità dei dati e firma digitale;

Vuoi saperne di più e richiedere una consulenza legale gdpr?

 

consulenza legale gdpr, dati personali sito web, GDPR, privacy policy, Regolamento UE Privacy


Diritto dell’internet e nuove tecnologie

Cosa facciamo

Offriamo consulenza legale  in materia di internet e nuove tecnologie, contrattualistica, e-commerce, marketplace, software e cloud, privacy e protezione dei dati personali, conformità al GDPR. Assistiamo privati e società con le richieste di rimozione dei contenuti dalla rete (“diritto all’oblio”), tutela dell’immagine e dell’identità personale sul web.

Contatti

info@lawgeek.it

© Lawgeek dell’Avv. Marco Bigarelli, P.I. 12741031004 | Largo Luigi Antonelli 2, 00145 Roma | Privacy Policy | Cookies Policy | Web Design by Gdmtech.it