fbpx
Titolare del trattamento e adempimenti

Titolare del trattamento e adempimenti

Titolare del trattamento e adempimenti

In un precedente articolo abbiamo già visto la figura del titolare del trattamento. Ora vedremo quali adempimenti devono da lui essere soddisfatti.

Gli adempimenti del titolare del trattamento

Quali sono gli adempimenti richiesti al titolare?

  1. Registri delle attività di trattamento (art. 30 GDPR): questi sono dei validi strumenti che possono essere usati in sede di ispezione. Cioè per valutare se il titolare nel porre in essere un trattamento ha agito responsabilmente e rispettando i principi posti a tutela dei dati dell’interessato dal GDPR.
  2. Valutazione d’impatto sulla protezione dei dati e consultazione preventiva (artt. 35-36 GDPR): attraverso questa valutazione si valuta se un determinato trattamento che si vuole porre in essere possa costituire un rischio per i diritti e le libertà dell’interessato. Quindi quello che viene valutato è la pericolosità di un determinato trattamento. Il WP 29 ha fornito 9 criteri, e nel caso in cui se ne realizzano 2 è necessario effettuare la valutazione d’impatto. Come possiamo notare quello che vuole essere realizzato è il principio di accountability.
  3. Responsabile della protezione dei dati (DPO) (artt. 37-39 GDPR): il titolare deve verificare i casi nei quali è obbligatoria la designazione di un DPO (data protection officer). A tal riguardo esistono delle linee guida che disciplinano quest’obbligo.
  4. Sicurezza dei dati personali (artt. 32-34 GDPR): è indispensabile garantire quelle che il Codice Privacy definisce “misure minime di sicurezza”. Il GDPR non riprende questa espressione. Tuttavia da un punto di vista contenutistico (che la dicitura sia o no presente nel Regolamento) è indispensabile che almeno le misure minime siano garantite. Ad esempio a tal riguardo si parla di obbligo di comunicazione del data breach. Le misure minime sono quindi un parametro di riferimento dal quale bisogna partire, per cercare di accrescere sempre la sicurezza dei dati dell’interessato. Ciò anche in un’ottica di adeguatezza alle disposizioni previste dal GDPR.

Contattaci subito per un preventivo

2 + 8 =

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

9 + 10 =

Privacy by design e GDPR

Privacy by design e GDPR

Privacy by design e GDPR

In un precedente articolo abbiamo già accennato al concetto di privacy by design. Avevamo detto che privacy by design significa proteggere i dati fin dalla loro progettazione. Ossia il trattamento prima di metterlo in atto va pensato per capire come proteggere i dati. Una misura che rappresenta questa tipologia di privacy è quella della pseudonimizzazione.

Art. 25, par. 1: privacy by design

Oggi parleremo più approfonditamente di questa tematica. Innanzitutto, possiamo trovare la privacy by design all’art. 25, par. 1 del GDPR, e la sua traduzione in italiano è protezione dei dati fin dalla progettazione.

La privacy by design deve essere attuata tenendo conto:

  1. dello stato dell’arte e dei costi di attuazione;

  2. della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento;

  3. dei rischi aventi probabilità e gravità diverse di verificarsi che possano andare ad incidere sui diritti e sulle liberà delle persone fisiche.

I rischi

La tematica dei rischi la avevamo già affrontata in due precedenti articoli:

Il GDPR fa spesso riferimento al concetto di rischio e di rischio elevato. Infatti potremmo dire che le due colonne portanti in tema di protezione dei dati personali sono:

  1. da un lato i rischi;
  2. dall’altro il tema della responsabilizzazione.

Se perciò volessimo sintetizzare questo concetto, potremmo scrivere la seguente equazione:

Accountability + Risck-based approch = Privacy/ Data protection impact assessment

Quando deve essere attuata la protezione dei dati fin dalla progettazione? Quali sono le sue caratteristiche?

Fin dal momento dell’inizio del trattamento. Infatti per valutare se si è conformi al GDPR, la privacy è necessario che sia incorporata nella progettazione del prodotto stesso. Cioè si dovrebbe poter valutare la conformità del nostro trattamento fin dall’inizio della progettazione del prodotto o del servizio o dell’offerta. E tale valutazione si deve basare su una documentazione.

Altro punto fermo importante è quello di garantire la sicurezza del prodotto o del servizio lungo tutta la sua vita. Quindi se ad esempio vi è stato il rischio di cyber attack, ci deve essere la possibilità di prevedere una distruzione dei dati conservati in un determinato dispositivo.

Contattaci subito per un preventivo

10 + 11 =

Call Now Button
Open chat