La protezione dei dati
Le misure tecniche di protezione dei dati espresse dal GDPR sono esplicitate nell’Art. 32 e sono subordinate allo stato dell'arte tecnologico, al valore dei costi di attuazione, alla natura, all'oggetto, del contesto e alle finalità del trattamento, come anche al rischio che possano essere indebitamente sottratte, alterate o rese indisponibili causando un danno materiale. Il testo GDPR riporta rischi di “distruzione, perdita, modifica, divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”. In particolare, le misure di protezione dei dati consistono nell’implementare:- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
I compiti del DPO
Le attività in carico al DPO (Art. 39 del GDPR) sono principalmente di sorveglianza all’attuazione del regolamento, consultive e di supporto al titolare del trattamento su tutte le tematiche di data protection, ma il DPO deve anche sapersi relazionare con la autorità di controllo vigenti per consultazione e cooperazione e con gli interessati del trattamento che possono rivolgersi a lui per qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti.I tool a disposizione del DPO
Quanto sopra porta a comprendere come nell’ambito del suo perimetro di influenza, il DPO in qualità di principale attore a sorveglianza dell’attuazione regolatoria, abbia bisogno di strumenti di governance che possano fornire una dashboard riassuntiva dei principali ambiti di tenuta sotto controllo ovvero dei seguenti: il Registro dei trattamenti, il documento di analisi dei rischi, il documento di valutazione di impatto (DPIA), le misure di sicurezza, il piano di formazione del personale e le evidenze relative alla l'attribuzione delle responsabilità. Si ricorda che nessuno di questi documenti è di diretta responsabilità del DPO bensì del Titolare e/o del Responsabile del trattamento. Tuttavia, il DPO dovrebbe poter accedere almeno in consultazione per il suo ruolo di sorveglianza. Quindi, un tool di Governance in ambito GDPR dovrebbe poter fornire almeno un registro dei trattamenti che specifichi la lista e la mappa di tutti i trattamenti digitali per ogni tipo di dato o per gruppi di dati aziendali, corredato di ogni informazione relativa al soggetto responsabile del trattamento, gli interessati, le finalità di trattamento, la gestione del consenso, i ruoli e responsabilità, l’indicazione di paesi terzi di trasferimento dei dati e ogni altra informazione prevista nell’Art. 30. Nell’ambito del registro dei trattamenti, alcune colonne possono essere adibite per la valutazione di analisi dei rischi, riportando per ogni tipo di dato trattato, il livello di rischio potenziale correlato al caso di incidente e riportando detta valutazione in termini qualitativi. La valorizzazione di tipo quantitativo è invece rappresentata dalla valutazione del danno relativo ad un accadimento di incidente, per ogni tipo di dato trattato e costituisce la valutazione di impatto economico: la cosiddetta DPIA (Data Protection Impact Analysis). Per ogni riga di trattamento è anche possibile correlare la lista di tutti gli interventi e le misure di sicurezza applicate fra cui anche gli interventi di Formazione con la relativa periodicità di aggiornamento e rivalutazione. Un tool di Governance fornisce un quadro generale della situazione e consente al DPO di valutare l’intero sistema di Protezione dei dati e se del caso, suggerire al Titolare ulteriori misure in ottica di miglioramento continuo o in relazione alle rinnovate capacità di investimento del Titolare. Scritto da Nicola Vanin