Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
La pillola di oggi riguarda: la Sicurezza dei Dati e la Violazione dei
Dati (Data Breach)
Una violazione dei
dati, o data breach, è una Violazione
della Sicurezza in cui dati sensibili, protetti o confidenziali vengono
- copiati
- trasmessi
- visualizzati
- rubati
- utilizzati
da un individuo non
autorizzato a farlo.
Il tema della Sicurezza
è connesso a doppio filo con quello della data
breach poiché questa ha un’accezione molto più ampia di quella comune che
la indentifica nell’hackeraggio. Infatti, la sua definizione comprende non solo
il furto di dati personali, ma anche la semplice copia, trasmissione,
utilizzazione o anche solo visualizzazione da parte di un individuo non
autorizzato a farlo. Tale soggetto potrebbe essere finanche appartenente
all’organizzazione del Titolare del Trattamento ma sprovvisto delle autorizzazioni
necessarie per poter accedere a determinati dati
personali.
Cosa cambia:
• Le misure di sicurezza devono
“garantire un livello di sicurezza adeguato al rischio” del trattamento (art.
32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32
è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso
motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati
di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione
sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai
rischi specificamente individuati come da art. 32 del regolamento. Si richiama
l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici
codici di condotta o a schemi di certificazione per attestare l’adeguatezza
delle misure di sicurezza adottate. Tuttavia, facendo anche riferimento alle
prescrizioni contenute, in particolare, nell’Allegato “B” al Codice, l’Autorità
potrà valutare la definizione di linee-guida o buone prassi sulla base dei
risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di
trattamenti (quelli di cui all’art. 6, paragrafo 1, lettere c) ed e) del
regolamento), potranno restare in vigore, in base all’art. 6, paragrafo 2, del
regolamento, le misure di sicurezza attualmente previste attraverso le
disposizioni di legge volta per volta applicabili: è il caso, in particolare,
dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di
rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi
(ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia
di sicurezza dei trattamenti.
• A partire dal 25 maggio 2018,
tutti i titolari – e non soltanto i fornitori di servizi di comunicazione
elettronica accessibili al pubblico, come avviene oggi – dovranno notificare
all’Autorità di controllo le violazioni di dati personali di cui vengano a
conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto
se ritengono probabile che da tale violazione derivino rischi per i diritti e
le libertà degli interessati (si veda considerando 85). Pertanto, la notifica
all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata
alla valutazione del rischio per gli interessati che spetta, ancora una volta,
al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare
delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”;
fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che
coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del
Codice. I contenuti della notifica all’Autorità e della comunicazione agli
interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del
regolamento. Su questo e su tutta la disciplina in materia, il Comitato europeo
della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è
chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il
Gruppo “Articolo 29”. Si ricorda, inoltre, che l’Autorità ha messo a
disposizione un modello per la notifica dei trattamenti da parte dei fornitori
di servizi di comunicazione elettronica accessibili al pubblico che intende
rielaborare al fine di renderlo utilizzabile da tutti i titolari di trattamento
secondo quanto prevede il regolamento.
Cosa Fare?
Il consiglio che proporremo in tutte
le pills sarà quello di rivolgersi ad
uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare
situazioni di panico, proporremo alcune semplici idee per poter approcciare
alle novità del GDPR.
• Come osservato nei consigli della pills precedente alla presente, ricorrere
integralmente a metodi “fai da te” rappresenta nella maggior parte dei casi una
soluzione che può portare a gravi conseguenze, tuttavia, escludendo la pretesa
di risolvere in proprio il problema, effettuare una prima autovalutazione
potrebbe costituire buon punto di partenza per approcciare e risolvere il
problema, nonché un’attività perfettamente in linea con il principio di
responsabilizzazione analizzato sempre nella pills precedente. Solo ed esclusivamente in quest’ottica si
consiglia di iniziare una riflessione sulla propri sistemi di sicurezza per la
protezione dei dati personali trattati, per arrivare a formare una propria
convinzione in merito alle misure necessarie da implementare.
• Altro semplice consiglio è quello
di fare riferimento alle prescrizioni contenute in standard internazionali di
sicurezza, ovvero a quelle contenute nell’Allegato “B” del Codice Privacy
Italiano. L’Italia, infatti, come successo in molti settori, ha recepito la
Direttiva 46/95/CE con molto zelo, introducendo molte prescrizioni le cui
fondamenta, a distanza di 15 anni, rappresentano i cardini della “nuova” normativa
europea.
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Nessun commento:
Posta un commento