Visualizza articoli per tag: best practices

Per molti italiani stanno arrivando le vacanze, e staccare un po' la spina dà senza dubbio sollievo, ma per evitare brutte sorprese durante l'estate è sempre opportuno stare attenti a non abbassare la guardia mentre utilizziamo smartphone, tablet, e anche strumenti di svago come i droni. Allora, anche se in questo periodo vi trovate sotto l'ombrellone, ci sono alcune utili best practices suggerite dal Garante con il vademecum "E-state in privacy":

L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento. 

Fino al 30 aprile 2022 i professionisti che attivano l’offerta del mese di Federprivacy ricevono in omaggio il libro "Modello Organizzativo Privacy" edito da Giuffrè e scritto da Monica Perego, Simona Persi, e Chiara Elena Ponti, e anche la mini guida “Privacy Primi Passi” edita da Federprivacy a cura di Davide Sottili e Nicola Bernardi.

Il tema delle “misure di mitigazione”, da applicare a seguito della valutazione dei rischi, presenta numerose sfaccettature, in questo articolo vengono illustrati alcuni aspetti secondari, ma non per questo non degni di approfondimento.  Le misure di mitigazione sono necessarie per prevenire e per evitare che si ripetano gli eventi che incidono sulla perdita di riservatezza, integrità e disponibilità dei dati personali e, quindi, servono a ridurre gli impatti sugli interessati, a seguito di eventi avversi, in relazione ai loro diritti e alle loro libertà, così come chiede il GDPR.

In relazione all’approfondimento dell’analisi dei rischi sui dati, in questo articolo si desidera analizzare il concetto di “agente di minaccia - threat actor”. Partiamo da una fonte ufficiale: il rapporto ENISA Threat Landscape (ETL) è il rapporto, pubblicato annualmente dalla Agenzia dell'Unione europea per la cibersicurezza, relativo alla sicurezza informatica; la nona edizione, del mese di ottobre 2021, rendiconta il periodo aprile 2020 – luglio 2021. La finalità del rapporto è quella di evidenziare le principali minacce e le loro tendenze rispetto al periodo precedente, gli agenti di minaccia e le misure di mitigazione da porre in atto.

I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo l’art. 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo; questo articolo tratta delle modalità attraverso le quali il Titolare del trattamento può effettuare quest’ultimo tipo di valutazione.

Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” si analizzano le problematiche relative alla documentazione contrattuale; più raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Il presente articolo tratta i criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti afferenti alla protezione dei dati personali.

Si discute ampiamente se tra le modalità di trattamento di dati personali siano anche da considerare i “trattamenti verbali”. Chi scrive ritiene che questa modalità di trattamento sia da considerare, al pari di quelli cartacei ed elettronici. Nell’articolo si desidera mettere in evidenza alcuni aspetti salienti di tali trattamenti.

Il Regolamento UE 679/2016 si fonda sul concetto di “responsabilizzazione” (accountability), ossia, sull’adozione da parte dei Titolari e Responsabili del trattamento di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina in materia di protezione dei dati personali. Si tratta di un obiettivo perseguibile a condizione che venga implementato un modello organizzativo che sia espressione di un adeguato sistema di gestione in materia di protezione dei dati personali.

L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento; e l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento. In questo articolo, si presenta un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO.