L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento; e l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento. In questo articolo, si presenta un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO.
Per non farsi cogliere impreparate di fronte a un'inaspettata ispezione del Garante della Privacy, alcune grandi aziende hanno incluso nelle proprie procedure interne manuali e documenti come “Vademecum delle prassi per la cooperazione con Garante Privacy”, mentre altre hanno fatto veri e propri "stress test" con simulazioni d'ispezione.
Un’efficace strategia di gestione degli incidenti relativi alla sicurezza delle informazioni, e dei data breach in particolare, si gioca sull’equilibrio tra la riduzione dell'impatto degli incidenti e la loro elaborazione nel modo più efficiente possibile; un valido approccio si basa sullo sviluppo di un piano.
Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati.
Il tema degli accessi fisici alle aree ed ai locali di un’organizzazione merita un approfondimento particolare sul tema in quanto un’attenta valutazione dei rischi potrebbe far emergere delle vulnerabilità, in tutto o in parte non considerate precedentemente. Quest’articolo propone una Check List, che può essere utilizzata sia in fase di assesment che in fase di audit (avendo come criterio il sistema di gestione della protezione dei dati o la conformità legislativa).
Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate.
Come noto, ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento UE 2016/679 (Gdpr), e tra questi troviamo il principio di integrità e riservatezza secondo il quale i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Il tema della sicurezza dei trattamenti è strettamente connesso con quello della information security.
