Obblighi inerenti la sicurezza Avv Federico Bergaminelli 05032021
Obblighi inerenti la sicurezza Avv. Federico Bergaminelli 05/03/2021 1
La sicurezza del trattamento • Coerentemente con il principio di accountability, in tema di sicurezza il focus si sposta dalla prescrizione alla responsabilizzazione del TDTR. • Il RGPD introduce la necessità di un approccio proattivo al rischio, sollecitando i TDTR ad una valutazione preliminare e continua di ogni aspetto potenzialmente critico dei tr. in ogni fase ed attività di essi, dalla progettazione alla messa in opera, ed oltre fino al momento della cessazione. 05/03/2021 2
La sicurezza del trattamento /2 • Più che imporre specifiche misure (come le «vecchie» misure minime), il RGPD si concentra sui rischi che il TDTR deve tenere in considerazione nella «messa a norma» dei trattamenti. Infatti, I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento (39° Cons. ). 05/03/2021 3
La sicurezza del trattamento /3 In tema di profilazione, per esempio, il TDTR deve mettere in atto misure tecniche e organizzative adeguate al fine di garantire un tr. corretto e trasparente … … e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti (71° Cons. ). 05/03/2021 4
La sicurezza del trattamento /4 I rischi per i diritti e le libertà delle persone fisiche possono avere probabilità e gravità diverse e derivano da tr. di d. p. suscettibili di cagionare un danno fisico, materiale o immateriale (75° Cons). C’è sempre un rischio di questa natura se il tr. può comportare • discriminazioni, • furto o usurpazione d’identità, • perdite finanziarie, • pregiudizio alla reputazione, • perdita di riservatezza dei d. p. protetti da segreto professionale, • decifratura non autorizzata della pseudonimizzazione, • o qualsiasi altro danno economico o sociale significativo; 05/03/2021 5
La sicurezza del trattamento /5 … oppure se gli interessati • rischiano di essere privati dei loro diritti e delle loro libertà • o venga loro impedito l’esercizio del controllo sui d. p. ; … se sono trattati dati personali • che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, • nonché dati genetici, • dati relativi alla salute • o i dati relativi alla vita sessuale • o a condanne penali e a reati o alle relative misure di sicurezza; 05/03/2021 6
La sicurezza del trattamento /6 … in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti • il rendimento professionale, • la situazione economica, • la salute, • le preferenze o gli interessi personali, • l’affidabilità o il comportamento, • l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; 05/03/2021 7
La sicurezza del trattamento /7 … se sono trattati dati personali di persone fisiche vulnerabili , • in particolare minori; … se il trattamento riguarda (trattamenti su vasta scala) • una notevole quantità di dati personali • e un vasto numero di interessati. È dunque cruciale la valutazione del rischio per la sicurezza dei dati, in cui occorre tenere in considerazione i rischi presentati dal tr. dei d. p. , come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale (83° Cons. ). 05/03/2021 8
La sicurezza del trattamento /8 Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il TDTR e il RDTR devono mettere in atto (art. 32) misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. 05/03/2021 9
Misure tecniche ed organizzative di sicurezza a) la pseudonimizzazione e la cifratura dei d. p. ; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei d. p. in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 05/03/2021 10
Processi della sicurezza – CICLO DI DEMING • Analizzare i rischi PLAN • Eliminare le vulnerabilità • Aggiornare le misure • Ripetere l’analisi dei rischi AC T • • 05/03/2021 • Identificare cause e contesti • Decidere le misure • Definire e documentare la politica di sicurezza SICUREZZA DEI DATI PERSONALI Verificare le misure Valutare le misure Individuare criticità Documentare gli incidenti DO • Attuare le misure • Assolvere gli obblighi • Garantire i diritti CHECK 11
Analisi del rischio Nel valutare l’adeguato livello di sicurezza, si tiene conto dei rischi che derivano in particolare (art. 32, 2): • dalla distruzione, • dalla perdita, • dalla modifica, • dalla divulgazione non autorizzata • o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 05/03/2021 12
Sicurezza ed incaricati del trattamento • È un preciso canone di sicurezza, la norma che impone (art. 32, 4) a TDTR e RDTR di «far sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento» . 05/03/2021 13
- Slides: 13