Il Regolamento Generale per la Protezione dei Dati (General Data Protection Regulation, GDPR) istituisce un sistema di protezione dei dati molto accurato che tiene conto di quali siano le caratteristiche del dato che devono essere preservate e le tipologie e finalità di trattamento per ogni tipo di dato (art. da 5 a 11). Indica anche quali siano le misure di sicurezza applicabili (art. 32 GDPR) dal Titolare e dal Responsabile del trattamento affinché una o tutte fra le tipologie di dati trattati (Personali, Sensibili o Particolari) possano preservare le tre fondamentali caratteristiche del dato, ovvero la Riservatezza, Integrità e Disponibilità (RID) durante il loro trattamento digitale. Infine, il GDPR oltre nell’articolo 25 specifica i concetti fondamentali di Privacy-by-design e Privacy-by-default come approcci concettuali innovativi, che richiedono alle aziende l'obbligo di pianificare da subito, gli strumenti e le corrette impostazioni a tutela e protezione dei dati personali. Ma quali sono i mezzi di protezione dei dati personali? Si introducono alcuni elementi preliminari per poi entrare nel dettaglio della risposta.

La protezione dei dati

 Le misure tecniche di protezione dei dati espresse dal GDPR sono esplicitate nell’Art. 32 e sono subordinate allo stato dell'arte tecnologico, al valore dei costi di attuazione, alla natura, all'oggetto, del contesto e alle finalità del trattamento, come anche al rischio che possano essere indebitamente sottratte, alterate o rese indisponibili causando un danno materiale. Il testo GDPR riporta rischi di “distruzione, perdita, modifica, divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”. In particolare, le misure di protezione dei dati consistono nell’implementare:
  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Lo stesso articolo stabilisce anche come per la dimostrazione di compliance al GDPR sia possibile aderire ad un codice di condotta o ad una certificazione.

I compiti del DPO

 Le attività in carico al DPO (Art. 39 del GDPR) sono principalmente di sorveglianza all’attuazione del regolamento, consultive e di supporto al titolare del trattamento su tutte le tematiche di data protection, ma il DPO deve anche sapersi relazionare con la autorità di controllo vigenti per consultazione e cooperazione e con gli interessati del trattamento che possono rivolgersi a lui per qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti.

 I tool a disposizione del DPO

 Quanto sopra porta a comprendere come nell’ambito del suo perimetro di influenza, il DPO in qualità di principale attore a sorveglianza dell’attuazione regolatoria, abbia bisogno di strumenti di governance che possano fornire una dashboard riassuntiva dei principali ambiti di tenuta sotto controllo ovvero dei seguenti: il Registro dei trattamenti, il documento di analisi dei rischi, il documento di valutazione di impatto (DPIA), le misure di sicurezza, il piano di formazione del personale e le evidenze relative alla l'attribuzione delle responsabilità. Si ricorda che nessuno di questi documenti è di diretta responsabilità del DPO bensì del Titolare e/o del Responsabile del trattamento. Tuttavia, il DPO dovrebbe poter accedere almeno in consultazione per il suo ruolo di sorveglianza. Quindi, un tool di Governance in ambito GDPR dovrebbe poter fornire almeno un registro dei trattamenti che specifichi la lista e la mappa di tutti i trattamenti digitali per ogni tipo di dato o per gruppi di dati aziendali, corredato di ogni informazione relativa al soggetto responsabile del trattamento, gli interessati, le finalità di trattamento, la gestione del consenso, i ruoli e responsabilità, l’indicazione di paesi terzi di trasferimento dei dati e ogni altra informazione prevista nell’Art. 30. Nell’ambito del registro dei trattamenti, alcune colonne possono essere adibite per la valutazione di analisi dei rischi, riportando per ogni tipo di dato trattato, il livello di rischio potenziale correlato al caso di incidente e riportando detta valutazione in termini qualitativi. La valorizzazione di tipo quantitativo è invece rappresentata dalla valutazione del danno relativo ad un accadimento di incidente, per ogni tipo di dato trattato e costituisce la valutazione di impatto economico: la cosiddetta DPIA (Data Protection Impact Analysis). Per ogni riga di trattamento è anche possibile correlare la lista di tutti gli interventi e le misure di sicurezza applicate fra cui anche gli interventi di Formazione con la relativa periodicità di aggiornamento e rivalutazione. Un tool di Governance fornisce un quadro generale della situazione e consente al DPO di valutare l’intero sistema di Protezione dei dati e se del caso, suggerire al Titolare ulteriori misure in ottica di miglioramento continuo o in relazione alle rinnovate capacità di investimento del Titolare. Scritto da Nicola Vanin   New call-to-action