ASSESSMENT E MISURE DI SICUREZZA

I PRINCIPI DEL GDPR

I principi enunciati all’art. 5 del GDPR sono il cardine dell’intero Regolamento. Nella UE oltre il 55% delle sanzioni comminate in violazione al GDPR riguardano anche una violazione all’art. 5 (dati al 30 aprile 2021). In Italia questa percentuale sale all’86% (fonte: https://www.enforcementtracker.com/)

I titolari del trattamento devono tenere conto dei principi in fase di pianificazione e di autovalutazione delle attività di trattamento e, sulla base dell’analisi dei rischi, stabilire le misure tecniche ed organizzative adeguate al rischio dei trattamenti e idonee a poter dimostrare il rispetto dei principi del Regolamento. I principi generali sono i seguenti:

  • Liceità, correttezza e trasparenza

  • Limitazione delle finalità

  • Minimizzazione dei dati

  • Esattezza e limitazione della conservazione

  • Integrità e riservatezza

  • Il principio di accountability

Quest’ultimo principio fa da guida al Regolamento e, in sostanza, va inteso come:

  • adozione consapevole e responsabile di misure e procedure per garantire il rispetto dei principi e degli obblighi del Regolamento

  • possibilità di dimostrare quanto al punto precedente

ELENCO ADEMPIMENTI E AUTOVALUTAZIONI

L’analisi dei rischi deve essere condotta tenendo presenti i rischi che possono portare ad una perdita di riservatezza, di integrità o di disponibilità dei dati personali degli interessati e valutando l’impatto che può avere sui diritti e sulle libertà degli interessati stessi una violazione dei dati. L’analisi effettuata porta a motivare le scelte che il titolare fa nell’adozione delle misure tecniche ed organizzative adeguate al rischio (artt. 24 e 32 del Regolamento).

L’ENISA (European Union Agency For Cybersecurity) propone supporti metodologici per l’analisi dei rischi e linee guida per la scelta delle misure di sicurezza adeguate al rischio.

Esistono comunque diverse fonti cui attingere per selezionare le valutare le misure tecniche e organizzative da adottare, in Itala l’AGID, con la cir. 2/2017, ha pubblicato le misure di sicurezza per le PA, distinguendole tra misure “minime”, “standard” e “alte”. Queste misure devono essere considerate anche dai soggetti privati che trattano informazioni per conto di enti pubblici.