Protezione dati personali – Regolamento (UE) 2016/679 – Analisi dei rischi e misure di sicurezza
In attesa che vengano emanati i decreti legislativi di coordinamento della normativa, nazionale ed europea, in materia di protezione dati, ed in considerazione dell’avvicinarsi della data (25 maggio 2018) a decorrere dalla quale il regolamento europeo entrerà in vigore, riteniamo utile evidenziare alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale.
Tra queste, segnaliamo la necessità di procedere alla valutazione dei rischi connessi con il trattamento dei dati, implementando le misure tecniche e organizzative necessarie per garantire la sicurezza. Di seguito, alcuni indicazioni di cui tenere conto per adeguarsi alle prescrizioni del regolamento europeo.
Sulla base del principio di "responsabilizzazione", il regolamento prescrive al titolare di analizzare i rischi inerenti il trattamento, quali la distruzione, la perdita, la modifica, la rivelazione o l’accesso non autorizzato, che potrebbero cagionare un danno fisico, materiale o immateriale. A seguito dell’analisi dei rischi, il titolare valuta l’adeguato livello di sicurezza, attuando le misure ritenute idonee per limitare tali rischi.
I rischi possono essere diversi a seconda dei vari tipi di trattamento. È pertanto necessario procedere individuando preliminarmente tutti i trattamenti effettuati in azienda.
La mappatura dei trattamenti in corso è comunque necessaria per la compilazione del registro previsto dall’articolo 30 del regolamento europeo. Il registro, anche se non obbligatorio per tutti i titolari di trattamento, è ritenuto dall’Autorità Garante un adempimento indispensabile, a prescindere dalle dimensioni dell'organizzazione, al fine di compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche. Secondo il Garante, la tenuta del registro dei trattamenti non costituisce un adempimento formale, ma è bensì parte integrante di un sistema di corretta gestione dei dati personali. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. L'Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni. Nelle more, abbiamo predisposto un facsimile di registro semplificato (allegato 1), che potrà essere utilizzato dalle aziende non obbligate alla sua tenuta, e comunque da tutte le imprese fino a che non sarà disponibile un modello validato dal Garante, e servirà a fare una prima mappatura dei trattamenti in corso e delle misure di sicurezza già implementate.
Misure tecniche e organizzative di sicurezza
Con il codice della privacy venivano imposte alcune “misure minime di sicurezza”, contenute nel disciplinare di cui all’allegato B (allegato 2), mentre con il regolamento europeo la decisione di quali misure adottare è rimessa, caso per caso, al titolare del trattamento in rapporto ai rischi specificamente individuati in fase di analisi.
Il titolare del trattamento deve mettere in atto le misure tecniche e organizzative che ritiene adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento europeo, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Dette misure devono essere riesaminate e aggiornate qualora necessario.
Non potranno quindi più sussistere, dopo il 25 maggio 2018, obblighi generalizzati di adozione di misure minime di sicurezza, quali quelle contenute nell’allegato B del codice della privacy. Il Garante valuterà se approvare linee guida o definire buone prassi. Poiché il Garante ritiene che le prescrizioni di cui all’allegato B, obbligatorie fino al prossimo 24 maggio, abbiano fatto conseguire in questi anni risultati positivi in termini di sicurezza e protezione dei dati, è da ritenere che esse costituiranno il contenuto delle buone prassi. Inoltre, per i trattamenti effettuati in adempimento di un obbligo legale, l’Autorità Garante ritiene che potranno restare in vigore le misure di sicurezza di cui all’allegato B.
Pertanto, in attesa che il quadro normativo si delinei con maggior chiarezza, invitiamo le aziende a verificare se sono correttamente implementate le misure di sicurezza attualmente previste dal codice della privacy, di cui riportiamo il testo in allegato (vedi allegato 2). Le misure di sicurezza adottate dovranno essere annotate nel registro.
Oltre alle misure tecniche di sicurezza, il regolamento europeo prevede che vadano implementare anche idonee misure organizzative, anch’esse già previste dal codice della privacy e dall’allegato B.
Il regolamento richiede infatti che il responsabile del trattamento, definito come la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento, ove nominato dal titolare, debba presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento.
Il responsabile del trattamento, o chiunque agisce sotto la sua autorità o sotto quella del titolare del trattamento, non può trattare dati personali se non è istruito in tal senso dal titolare del trattamento. È necessario pertanto che i soggetti incaricati dal titolare o dal responsabile di effettuare un trattamento, o singole fasi di esso, ricevano le specifiche istruzione da seguire. Al riguardo, alleghiamo un facsimile, già diffuso agli associati e contenuto nella nostra guida sulla privacy del 2015, che, debitamente implementato, può continuare ad essere utilizzato per incaricare i lavoratori ad eseguire operazioni di trattamento di dati personali con strumenti informatici, conferendo le credenziali di autenticazione per l’accesso agli stessi (allegato 3).
Inviamo anche uno schema di disciplinare aziendale che, con le opportune modifiche e integrazioni, può essere utilizzato per informare i lavoratori sul corretto utilizzo degli strumenti informatici ai fini della sicurezza dei dati personali (allegato 4).
Ci riserviamo di comunicare in seguito se si renderà necessario apportare agli stessi modifiche o integrazioni, all’esito dell’emanazione dei decreti legislativi di coordinamento delle norme o a seguito di chiarimenti espressi dal Garante.
Distinti saluti.
Il Direttore Generale
(Dr. Alessandro Massimo Nucara)
← Ritorna
Le Terme Tettuccio