Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

Misure di sicurezza: quali adottare in azienda per essere GDPR compliance?

24 Apr 2019
Diego Padovan

CIPP/E, CDP, Amministratore DPOCC


DOMANDA

Quali sono le misure di sicurezza GDPR di cui non posso fare a meno per rendere compliance la mia azienda?

RISPOSTA

La scelta delle misure idonee di sicurezza previste dal GDPR è un passo fondamentale per dimostrare la conformità al nuovo Regolamento europeo sulla tutela dei dati personali. La sicurezza delle operazioni di trattamento è uno dei pilastri del cosiddetto principio di accountability, pertanto optare per soluzioni generali o precostituite può essere rischioso, oltre che uno spreco di tempo e risorse, spesso già carenti.

Tuttavia, considerando che l’abrogazione delle misure minime di sicurezza elencate nell’ex allegato B al “vecchio” Codice privacy italiano non rende queste ultime “errate” o “inutilizzabili”, l’organizzazione che muove i primi passi verso la conformità in ambito sicurezza GDPR può farvi riferimento, iniziando contemporaneamente ad individuare i rimedi che meglio si configurano rispetto alle proprie specificità, in primis, di trattamento.

Pertanto, la scelta successiva e inevitabile è optare per una delle valide fonti rese disponibili da organismi autorevoli in materia, come ad esempio ENISA, CNIL, ISO/IEC, oppure AgID, ma è bene tener presente che tali organismi forniscono un elenco di misure, spesso molto vasto, in alcuni casi anche con complessità notevoli, e pertanto non concepito per essere trasposto nella sua interezza in azienda.

Molto pragmaticamente, da questi elenchi l’organizzazione dovrà allora, necessariamente, seguire un processo di selezione del (sotto)insieme di misure idonee rispetto alla propria situazione. Tale processo è solitamente distinto in tre fasi:

  • individuare i trattamenti effettuati;
  • valutarne il rischio;
  • selezionare i rimedi corrispondenti.

Il consiglio è quindi come minimo predisporre il proprio registro delle attività di trattamento, seguire un processo di analisi del rischio valido (come ad esempio quello proposto da ENISA) e quindi individuare le misure che si ritengono più opportune, eventualmente modificandole o integrandole, in quanto: il titolare del trattamento o il responsabile del trattamento dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.

Mandate i vostri quesiti ai nostri esperti

Quesiti privacy: info@dpocc.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5