Misure di Sicurezza GDPR: Cosa Sono e Come Funzionano

Le misure di sicurezza previste dalla GDPR rientrano tra gli adempimenti per ridurre i rischi derivanti dal trattamento dei dati personali. Vediamo in dettaglio le nuove regole introdotte dal Regolamento europeo sulla privacy ed alcuni esempi pratici.

Cosa sono le misure di sicurezza

Le misure di sicurezza sono le pratiche tecniche e organizzative per garantirne la sicurezza dei dati personali che deve adottare chi tratta i dati. Sono misure di sicurezza tecniche gli strumenti che garantiscono la protezione e la corretta conservazione dei dati (es. la cifratura dei dati). Sono misure di sicurezza organizzative le attività e gli adempimenti svolti per assicurare l'applicazione del GDPR e la riduzione dei rischi derivanti dal trattamento dei dati (es. l'adesione a un codice di condotta o l'uso di un meccanismo di certificazione degli accessi).

Le misure di sicurezza previste dal GDPR devono essere adottate dal titolare e dal responsabile del trattamento in modo adeguato al caso concreto. Non esiste un elenco di misure da adottare, tuttavia, il Regolamento europeo GDPR prevede le seguenti misure di sicurezza a titolo esemplificativo:

• cifratura e pseudonimizzazione: ad esempio, l'uso di algoritmi per la cifratura dei dati salvati e l'anonimizzazione dei dati per garantire la confidenzialità
• garanzia di riservatezza: ad esempio, con la restrizione degli accessi, monitoraggio degli accessi, firewall, password e credenziali sicure
• garanzia di integrità, disponibilità, resilienza e ripristino tempestivo: ad esempio, l'adozione di meccanismi di backup o particolari tipologie di archiviazione dei dati (archiviazione ridondante)
• procedure di verifica per testare l'efficacia delle misure adottate: ad esempio, audit indipendenti per la verifica e il controllo sulla compliance privacy

La violazione dei dati (data breach)

Le regole sulle misure di sicurezza introdotte dal GDPR sono utili anche per minimizzare i danni e i rischi derivanti da una violazione dei dati personali. Infatti, se si verifica una violazione di sicurezza, i dati possono essere distrutti, divulgati o rubati in modo non autorizzato. In questi casi, il titolare del trattamento deve documentare tutte le violazioni e nei casi più gravi notificare la violazione al Garante per la protezione dei dati personali (es. in caso di furto di identità o di un danno alla reputazione dell'interessato).

Il Garante della privacy se rileva una violazione del GDPR che riguarda le misure di sicurezza può prescrivere misure correttive e sanzioni economiche. Tali sanzioni possono arrivare fino a fino a €10 milioni oppure fino al 2% del fatturato totale annuo mondiale. Per questo è molto importante adottare tutte le misure di sicurezza adeguate al trattamento dei dati personali.

Misure minime di sicurezza

Il Codice della privacy italiano prevedeva alcune "misure minime di sicurezza" da adottare. Con il Regolamento GDPR è stato eliminato questo approccio, abbracciando il concetto di elencazione aperta e non esaustiva delle misure di sicurezza. Il nostro codice della privacy ha quindi eliminato le misure minime in precedenza previste.

Con il nuovo approccio le misure di sicurezza devono essere adeguate e proporzionate al livello di rischio connesso al trattamento dei dati personali. Per questo è necessaria un'analisi del rischio legata al caso concreto. Chi tratta di dati deve compiere delle scelte operative e gestionali su misura e deve poter dimostrare che il trattamento dei dati sia conforme al GDPR (principio di accountability). Inoltre, si deve tenere conto della natura, del contesto e delle finalità del trattamento nella scelta delle misure di sicurezza.

Un esempio pratico può essere un trattamento di dati genetici che potrebbe richiedere sia misure di sicurezza tecniche di cifratura delle informazioni e trasmissione dei dati sia misure di sicurezza organizzative dedicate per la custodia dei dati genetici come una procedura specifica di identificazione e limitazione di accesso ai locali dove sono conservati i dati.

Come gestire gli adempimenti privacy con LexDo.it

L’adeguamento alle nuove regole privacy richiede un’attenta valutazione dell’attività dell’impresa. Con LexDo.it puoi ricevere un servizio completo per gestire correttamente e in modo semplice gli adempimenti privacy della tua attività. Potrai ottenere una consulenza GDPR dedicata di un avvocato esperto con uno dei nostri piani completi a partire da €99 + IVA. Il professionista valuterà quali adempimenti e documenti si applicano al tuo caso specifico, consigliandoti come procedere.

Potrai poi creare i documenti privacy di cui hai bisogno, inclusi nei nostri piani completi. Trovi qui di seguito una lista dei documenti che puoi creare:

• Privacy Policy: per informare i propri clienti sull'uso che verrà fatto delle loro informazioni personali
• Privacy Policy di un Sito Web o di un’App: per informare gli utenti di un sito web o di un app sull’uso che verrà fatto delle loro informazioni personali
• Cookie Policy: per informare i visitatori del tuo sito dei cookie che salverai sul loro browser
• Registro dei Trattamenti dei Dati Personali: per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati

Inoltre, il servizio include 1 anno di supporto legale 100% online per creare anche gli altri documenti legali necessari per le tue esigenze (es. contratti d’opera o servizio e termini e condizioni per un sito web) e per richiedere consulenze su ogni tema legale. Potrai descrivere la tua situazione ad un professionista esperto che ti guiderà passo dopo passo nel tuo caso specifico.

Per parlare con il professionista esperto, puoi iniziare dalla consulenza sulla privacy dedicata.