Il regolamento, che sostituisce la Data Protection Directive 95/46/EC, norma in pratica le modalità per la protezione delle persone fisiche con riferimento ai dati personali trattati, in particolare per quanto riguarda la condivisione di tali informazioni.

Ciò si traduce in una maggiore responsabilizzazione dal punto di vista giuridico di chi è chiamato a trattare i dati. Per chiarire meglio questo concetto, è possibile ricordare come il GDPR preveda che in caso di incidenti il titolare del trattamento dei dati personali debba poter dimostrare in tribunale di aver assunto tutte le precauzioni necessarie in via preventiva.

Riassumendo: nel caso in cui voi siate i titolari del trattamento di dati altrui dovrete proteggerli osservando gli obblighi indicate dal regolamento, altrimenti, in caso di eventi come l'esposizione non autorizzata di tali informazioni (Data Breach), potreste incorrere nelle sanzioni previste. Queste ultime sono in alcuni casi particolarmente salate, ma su di esse e sulla loro entità si è fatta tanta confusione che dedicheremo loro un apposito post.

Veniamo agli obblighi. In che modo adeguarsi ai dettami del GDPR? Le direttive UE sono in questo caso numerose e in alcuni casi specifiche per determinate tipologie aziendali o organizzative. Possiamo però isolare alcune misure di carattere generale:

  • Crittografare tutti i messaggi di posta elettronica che contengono informazioni confidenziali.
  • Aggiornare periodicamente i dati e cancellarli solo dietro richiesta specifica.
  • Dimostrare per quali scopi vengono trattati i dati e, di conseguenza, non utilizzarli per scopi differenti.
  • Formare i collaboratori in modo che ciascun dipendente sia in grado di tutelare i dati per il compito che gli è stato assegnato.
  • Crittografare le informazioni personali e confidenziali registrate su supporti per la memorizzazione. Quindi, ad esempio, nessuna informazione riservata deve essere presente in chiaro su una pen drive.
  • Crittografare i dati personali e confidenziali contenuti nei computer portatili in modo che non siano accessibili in caso di furto.
  • Crittografare i dati personali e confidenziali in fase si trasferimento nel Cloud.
  • Monitorare e analizzare costantemente l'infrastruttura interna per verificare la presenza di eventuali vulnerabilità da correggere.
  • Eseguire il backup dei dati.

Quest'ultimo punto è particolarmente importante perché, stando a quanto previsto, il solo backup su hard disk esterni non sarebbe sufficiente. Questi ultimi potrebbero essere trafugati e quindi dovrebbero essere sempre conservati in un luogo inaccessibile a mani altrui. Ne consegue che l'unica misura da ritenersi sicura (per chi ha redatto il regolamento) potrebbe essere il backup sul Cloud.

Le criticità del GDPR per quanto riguarda i titolari del trattamento sono diverse e non tutte immediatamente intuibili, le analizzeremo presto nel dettaglio.

Via Garante per la protezione dei dati personali

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *