GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
L’applicazione in concreto dell’Articolo 32 del GDPR


martedì 29 gennaio 2019
Avv. Gianni Dell’Aiuto



 

Inserito nel capo intitolato “Obblighi Generali” l'articolo 32 del GDPR rientra nella sezione delle norme relative agli obblighi che incombono sui gestori di dati e fa specifico riferimento alla sicurezza del trattamento dei dati. L'articolo 32 impone ad ogni soggetto che svolga attività di trattamento dati di garantire la predisposizione di misure tecniche e organizzative sufficienti per garantire la sicurezza del trattamento dei dati. Queste misure devono essere adeguate alla natura, alla portata e alle finalità dell'elaborazione dei dati di un'organizzazione, e dovrebbero essere sufficienti per salvaguardare dal rischio di violazioni dei dati, in particolare perdite accidentali o illegali, alterazione, divulgazione o accesso non autorizzato.

L'articolo richiede inoltre che il Titolare e il Responsabile del trattamento debbano attuare misure per garantire che chiunque abbia accesso alle informazioni personali, le elabori solo in conformità con le regole del GDPR. Si pone quindi la necessità di obblighi di formazione per tutti coloro che si troveranno ad operare con i dati, e ciò comprende tutti coloro che usino un computer o anche solo un telefono per svolgere i propri compiti.

Le linee guida del GDPR per la protezione dei dati
La precedente disciplina europea sulla protezione dei dati non dava alcuna indicazione su quale tipo di misure potessero essere adottate ma, questa volta, il GDPR stabilisce alcune linee guida utili per la conformità all'articolo 32, suggerendo quattro aree di controllo. Premesso infatti che ogni operatore ha la massima libertà e autonomia decisionale secondo il principio della privacy by design, cioè personalizzata sulle proprie esigenze e sulla struttura, anche per quanto riguarda gli aspetti finanziari, non potendosi chiedere investimenti eccessivamente onerosi o ingiustificati. 

Nel merito della protezione, l’art. 32 indica quattro aree su cui gli operatori, dovranno focalizzarsi.

  1. Crittografia e pseudonimizzazione delle informazioni personali;
  2. misure atte a garantire che i sistemi e i servizi di elaborazione siano in grado di resistere agli attacchi, ad errori di sistema, errori umani e che mantengano adeguatamente la riservatezza;
  3. un insieme di procedure per ripristinare l'accesso alle informazioni personali il più rapidamente possibile in caso di incidenti;
  4. un sistema per garantire che tutte le misure tecniche e organizzative esistenti siano regolarmente testate e valutate per la loro efficacia nel garantire la sicurezza dei dati.

Sebbene l'articolo 32 indichi espressamente come misure di sicurezza la pseudonimizzazione e la crittografia, offre ai responsabili, un’ampia flessibilità nel decidere eventuali altre misure da adottare. Queste possono includere soluzioni tecniche e organizzative tra cui un monitoraggio e un audit delle modifiche ai database, misure software e hardware per identificare e prevenire la perdita di dati, attacchi dannosi o uso improprio di dati, monitoraggio dell'accesso ai dati personali attraverso la gestione dei diritti degli utenti e l’eventuale revisione di una VIP privacy dei dati, fornendo un livello più elevato di controllo degli accessi per quelli altamente sensibili o a maggior rischio.

L'articolo 32 offre anche indicazioni su come dimostrare l’adeguamento al sistema GDPR. Ciò potrebbe avvenire tramite un codice di condotta sulla sicurezza dati redatto da un ente del settore o mediante una certificazione approvata di conformità alla sicurezza dei dati. Il GDPR suggerisce anche che il modo migliore per stabilire il livello di rischio di un'organizzazione sia il portare avanti quella che è nota come valutazione dell'impatto sulla privacy, di cui al successivo articolo 35.

È essenziale che tutte le organizzazioni tengano conto dell'articolo 32 del GDPR, in quanto le conseguenze del suo mancato rispetto possono essere disastrose. Se un'organizzazione che subisce una violazione della sicurezza dei dati non è in grado di dimostrare di aver raggiunto il livello appropriato di conformità all'articolo 32, può essere multata fino al 2% del proprio fatturato globale annuale o 10 milioni di euro, a seconda di quale sia la cifra più elevata. Per il momento il Garante ha fornito indicazioni di contenere la misura delle sanzioni. Ma solo per il momento.




CONDIVIDI QUESTA PAGINA!