Il corollario dell’obbligo del Titolare del trattamento di dare le istruzioni necessarie ai propri sottoposti (interni e/o esterni) è quello di controllare periodicamente che le proprie istruzioni siano osservate dai destinatari.
Un corretto approccio basato sul principio di accountability delle misure di protezione adottate, permette al Titolare del trattamento di soddisfare le esigenze di sicurezza desiderate, in primis, dai propri clienti, con ritorni economici significativi.
Uno degli aspetti più difficili da far assimilare ai clienti, quando si parla di GDPR, è la necessità di svolgere una verifica periodica delle misure tecniche ed organizzative individuate ed adottate per la prevenzione del rischio nel trattamento dei dati. Non basta, cioè, aver costruito un valido sistema organizzativo di tutela dei dati se i processi non vengono, poi, testati ed aggiornati nel tempo. Anche i rapporti tra Titolare e Responsabile del trattamento sono improntati al rispetto delle istruzioni del primo da parte del secondo nel tempo, il che equivale a dire che il Titolare ha l’obbligo di controllare nel tempo l’osservanza delle regole date al Responsabile, verificando puntualmente che le categorie di dati trattati e le operazioni su di essi eseguite siano sempre posti in essere rispettando i parametri di liceità stabiliti dalle istruzioni fornite. Uno degli strumenti utili alla… Leggi tutto »Il risk based audit per il GDPR
Ci siamo. Benvenuto GDPR! Il 25 maggio è entrata in vigore un’unica normativa che regolamenta in modo uniforme la data protection dei cittadini di tutta Europa: il Regolamento UE 2016/679 (GDPR). Chi, come me, si è occupato di questo tema presso i clienti, ha assistito nel corso degli ultimi mesi ad una vera e propria escalation di attenzione all’argomento, giunta, con l’approssimarsi della scadenza, a veri e propri atteggiamenti da “fine del mondo”, insospettabili fino a qualche mese fa e sorprendenti anche per chi si occupa della materia da tempo. In un recente meeting, il Prof. Franco Pizzetti ha dichiarato che “il nuovo GDPR è una vera rivoluzione copernicana rispetto alla protezione dati che abbiamo conosciuto negli scorsi venti anni. Al centro del nuovo sistema sta la tutela di un diritto fondamentale riconosciuto a tutti gli europei ma anche la… Leggi tutto »GDPR: applicatelo con buon senso
È noto che il GDPR richiede l’adozione da parte del titolare del trattamento di misure tecniche e di misure organizzative adeguate al rischio per i diritti e le libertà degli interessati. Spesso, però, i clienti identificano questo requisito con le sole misure di sicurezza tecnologiche (finalizzate per lo più alla cyber security) che, tuttavia, rappresentano solo una parte dell’intero complesso di misure che il GDPR chiede al Titolare di adottare per tutelare i dati personali degli interessati. Secondo gli standard ISO “più vicini” alla data protection (penso, ad esempio allo standard ISO 27001) per misure organizzative, generalmente si intendono tutte quelle politiche, procedure, regolamenti idonei ad ottenere un livello di sicurezza e protezione delle informazioni (dei dati) coerente con gli obiettivi e le strategie dell’organizzazione. Rappresentano, ad esempio, misure organizzative quelle che: prevedono la separazione dei compiti; contemplano ed individuano… Leggi tutto »Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?
Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR. Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti. Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente: di sviluppare un’idonea analisi del rischio; di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati; di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità. Il… Leggi tutto »Registro dei trattamenti: chi ne può fare a meno?
Uno dei principali compiti posti a carico del titolare del trattamento dal GDPR è quello di vagliare i rischi sottesi alle attività di trattamento dei dati personali: il risk-based approach si pone, quindi, come prerequisito per l’individuazione delle misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende. L’approccio mentale orientato al c.d. risk based thinking è sempre più indispensabile: basti pensare allo standard ISO 9001:2015, che prescrive l’analisi dei rischi in capo ad ogni processo organizzativo, in relazione al contesto ed alle esigenze di volta in volta interessate. Ciò significa che le aziende devono essere in grado di valutare costantemente, per ciascun processo produttivo ed organizzativo, i rischi provenienti dalle fonti interne ed esterne. In materia di data protection, il Garante italiano, trattando il tema del documento programmatico di sicurezza… Leggi tutto »Risk-based approach e GDPR
Oggi ho avuto una conversazione con un cliente che, di fronte alla mia domanda in merito al livello di adeguamento dei suoi processi aziendali alle prescrizioni del Regolamento UE 679/2016 (GDPR) a tutela della sicurezza dei dati personali, mi ha risposto, piuttosto infastidito, che si tratta delle solite regole che non servono a nulla, perché “tanto su internet si trova tutto”, a dispetto dei numerosi adempimenti che vengono richiesti dalle attuali norme in materia di privacy. Tutti i miei tentativi di spiegargli che, proprio il fatto che “su internet si trova tutto” (anche quello che non dovrebbe esserci), rende evidente la necessità di regole nuove e più efficaci per la sicurezza dei dati personali, in quanto la tutela della sua clientela comincia proprio con l’adozione di adeguate protezioni dei dati raccolti, non hanno fatto breccia. Con mia grande frustrazione, ho dovuto,… Leggi tutto »L’importanza della sicurezza dei dati personali