Le Terme Tettuccio
Il Golf 18 buche
Montecatini Alto
Lo stabilimento Tettuccio
Uto Ughi a Estate Regina
Ippodromo Sesana
Miss Italia a Montecatini Terme
Montecatini Alto
Natale su Viale Verdi
Parco Termale

Protezione dati personali – Regolamento (UE) 2016/679 – Analisi dei rischi e misure di sicurezza

In attesa che vengano emanati i decreti legislativi di coordinamento della normativa, nazionale ed europea, in materia di protezione dati, ed in considerazione dell’avvicinarsi della data (25 maggio 2018) a decorrere dalla quale il regolamento europeo entrerà in vigore, riteniamo utile evidenziare alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale.

Tra queste, segnaliamo la necessità di procedere alla valutazione dei rischi connessi con il trattamento dei dati, implementando le misure tecniche e organizzative necessarie per garantire la sicurezza. Di seguito, alcuni indicazioni di cui tenere conto per adeguarsi alle prescrizioni del regolamento europeo.

Analisi dei rischi

Sulla base del principio di "responsabilizzazione", il regolamento prescrive al titolare di analizzare i rischi inerenti il trattamento, quali la distruzione, la perdita, la modifica, la rivelazione o l’accesso non autorizzato, che potrebbero cagionare un danno fisico, materiale o immateriale. A seguito dell’analisi dei rischi, il titolare valuta l’adeguato livello di sicurezza, attuando le misure ritenute idonee per limitare tali rischi.

I rischi possono essere diversi a seconda dei vari tipi di trattamento. È pertanto necessario procedere individuando preliminarmente tutti i trattamenti effettuati in azienda.

La mappatura dei trattamenti in corso è comunque necessaria per la compilazione del registro previsto dall’articolo 30 del regolamento europeo. Il registro, anche se non obbligatorio per tutti i titolari di trattamento, è ritenuto dall’Autorità Garante un adempimento indispensabile, a prescindere dalle dimensioni dell'organizzazione, al fine di compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche. Secondo il Garante, la tenuta del registro dei trattamenti non costituisce un adempimento formale, ma è bensì parte integrante di un sistema di corretta gestione dei dati personali. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. L'Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni. Nelle more, abbiamo predisposto un facsimile di registro semplificato (allegato 1), che potrà essere utilizzato dalle aziende non obbligate alla sua tenuta, e comunque da tutte le imprese fino a che non sarà disponibile un modello validato dal Garante, e servirà a fare una prima mappatura dei trattamenti in corso e delle misure di sicurezza già implementate.

Misure tecniche e organizzative di sicurezza

Con il codice della privacy venivano imposte alcune “misure minime di sicurezza”, contenute nel disciplinare di cui all’allegato B (allegato 2), mentre con il regolamento europeo la decisione di quali misure adottare è rimessa, caso per caso, al titolare del trattamento in rapporto ai rischi specificamente individuati in fase di analisi.

Il titolare del trattamento deve mettere in atto le misure tecniche e organizzative che ritiene adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento europeo, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Dette misure devono essere riesaminate e aggiornate qualora necessario.

Non potranno quindi più sussistere, dopo il 25 maggio 2018, obblighi generalizzati di adozione di misure minime di sicurezza, quali quelle contenute nell’allegato B del codice della privacy. Il Garante valuterà se approvare linee guida o definire buone prassi. Poiché il Garante ritiene che le prescrizioni di cui all’allegato B, obbligatorie fino al prossimo 24 maggio, abbiano fatto conseguire in questi anni risultati positivi in termini di sicurezza e protezione dei dati, è da ritenere che esse costituiranno il contenuto delle buone prassi. Inoltre, per i trattamenti effettuati in adempimento di un obbligo legale, l’Autorità Garante ritiene che potranno restare in vigore le misure di sicurezza di cui all’allegato B.

Pertanto, in attesa che il quadro normativo si delinei con maggior chiarezza, invitiamo le aziende a verificare se sono correttamente implementate le misure di sicurezza attualmente previste dal codice della privacy, di cui riportiamo il testo in allegato (vedi allegato 2). Le misure di sicurezza adottate dovranno essere annotate nel registro.

Oltre alle misure tecniche di sicurezza, il regolamento europeo prevede che vadano implementare anche idonee misure organizzative, anch’esse già previste dal codice della privacy e dall’allegato B.

Il regolamento richiede infatti che il responsabile del trattamento, definito come la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento, ove nominato dal titolare, debba presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento.

Il responsabile del trattamento, o chiunque agisce sotto la sua autorità o sotto quella del titolare del trattamento, non può trattare dati personali se non è istruito in tal senso dal titolare del trattamento. È necessario pertanto che i soggetti incaricati dal titolare o dal responsabile di effettuare un trattamento, o singole fasi di esso, ricevano le specifiche istruzione da seguire. Al riguardo, alleghiamo un facsimile, già diffuso agli associati e contenuto nella nostra guida sulla privacy del 2015, che, debitamente implementato, può continuare ad essere utilizzato per incaricare i lavoratori ad eseguire operazioni di trattamento di dati personali con strumenti informatici, conferendo le credenziali di autenticazione per l’accesso agli stessi (allegato 3).

Inviamo anche uno schema di disciplinare aziendale che, con le opportune modifiche e integrazioni, può essere utilizzato per informare i lavoratori sul corretto utilizzo degli strumenti informatici ai fini della sicurezza dei dati personali (allegato 4).

Ci riserviamo di comunicare in seguito se si renderà necessario apportare agli stessi modifiche o integrazioni, all’esito dell’emanazione dei decreti legislativi di coordinamento delle norme o a seguito di chiarimenti espressi dal Garante.

Distinti saluti.

Il Direttore Generale

(Dr. Alessandro Massimo Nucara)


Ritorna
 
 

ACCESSO RISERVATO AI SOCI

 
 
 
 
 
 
 
 
 
 

ANTEPRIMA FEDERALBERGHI

03/10/2018

Entro il 31 ottobre 2018 dovrà essere effettuato il pagamento dei compensi per l’anno 2017 di spettanza di Nuovo Imaie .......

  

16/07/2018

È stato pubblicato il decreto-legge recante “Disposizioni urgenti per la dignità dei lavoratori e delle imprese” ...

27/06/2018

Federalberghi è impegnata in una costante azione di monitoraggio per verificare se...

12/06/2018

Il Mibact ha pubblicato la nuova graduatoria delle imprese ammesse ...

SERVIZIO NEWSLETTERS

resta sempre aggiornato...
iscriviti alle newsletters!

 
 

I NOSTRI PARTNERS