Imprese. Tutela privacy, Anorc: “Formare evita violazione diritti”

Sicurezza e protezione dei dati personali, accountability e misure di tutela della privacy. Cosa e’ cambiato per le imprese dopo l’introduzione del regolamento generale europeo, cosiddetto ‘Gdpr’? A spiegarlo alla Dire, Alessandra Fischetti, professionista della privacy di ‘Anorc’, l’associazione che rappresenta i professionisti e il mercato della custodia dei dati, delle informazioni e dei documenti […]

Sicurezza e protezione dei dati personali, accountability e misure di tutela della privacy. Cosa e’ cambiato per le imprese dopo l’introduzione del regolamento generale europeo, cosiddetto ‘Gdpr’? A spiegarlo alla Dire, Alessandra Fischetti, professionista della privacy di ‘Anorc’, l’associazione che rappresenta i professionisti e il mercato della custodia dei dati, delle informazioni e dei documenti digitali e che in questi giorni sta partecipando a ‘Sicurezza 2019′, fiera internazionale su security e antincendio in corso a Rho-Fieramilano. “Il principio di accountability e’ uno dei pilastri del regolamento europeo in materia di protezione dei dati personali- esordisce Fischetti- Significa responsabilizzare il titolare del trattamento dei dati personali in modo tale che quest’ultimo non sia un mero esecutore della norma, ma sia quello che sceglie che tipo di trattamento effettuare con quali strumenti e soprattutto con quali misure di sicurezza. Questo significa quindi essere responsabile per le proprie scelte ma soprattutto, questa la vera novita’ del regolamento, di poterne dare prova. Il titolare deve cioe’ essere in grado di dare atto, laddove ci fossero violazioni dei dati personali, del perche’ ha deciso di agire in quel modo o, in altre parole, quali valutazioni sono state alle base delle misure di sicurezza che ha ritenuto idonee a tutelare i dati e quindi gli interessi della persona fisica oggetto del trattamento”. Ci sono altri due principi cardine del regolamento europeo, entrambi strettamente connessi al principio di accountability. “Privacy-by-design, prosegue Fischetti, significa che la protezione del dato personale deve esistere sin dall’origine, cioe’ dalla progettazione. Se il titolare vuole utilizzare un determinato strumento per effettuare un trattamento fin dalla progettazione “deve valutare quali potrebbero essere i rischi e dunque essere in grado di prevedere delle misure adeguate a mitigarli il piu’ possibile”. Con riferimento al ‘Gdpr’ “il rischio e’ proprio la lesione dei diritti fondamentali della persona fisica. Privacy-by-default significa, invece, che la protezione del dato personale deve essere garantita per impostazione predefinita. Il titolare cioe’, in modo automatico, deve trattare solamente i dati essenziali al raggiungimento delle finalita’ prefissate e solamente per il periodo strettamente necessario all’utilizzo”. Fischetti affronta poi il punto relativo alle misure indispensabili per garantire la protezione dei dati personali dei lavoratori e delle lavoratrici: “Quando si parla di sicurezza e di protezione dei dati personali- spiega- sicuramente rileva ancora il concetto di accountability. Rispetto al passato e al nostro codice privacy, il ‘Gdpr’ ha dato liberta’ di decisione al datore di lavoro anche in punto di misure di sicurezza e tutela della privacy. L’articolo 32 elenca una serie di misure che pero’ non sono tassative e non sono esaustive. Si parla di pseudonimi, di cifrature, di capacita’ di poter recuperare il dato in caso di violazione. Queste misure, se adottate, sono utili ma non e’ detto che vengano applicate in tutti i contesti e da tutti i titolari del trattamento”. “Infatti- aggiunge- lo stesso articolo del regolamento dice che la scelta del titolare puo’ essere fondata sulla valutazione di una serie di parametri, tra cui lo stato dell’arte, le possibilita’ offerte dal progresso tecnologico, i costi di attuazione, la quantita’ di dati. Evidentemente le misure adottate da Google, per esempio, saranno diverse da quelle adottate da un piccolo imprenditore. Le misure possono quindi essere molte- conclude Fischetti- fondamentale sicuramente la formazione dei lavoratori cosiddetti autorizzati al trattamento. La loro formazione evita nella maggior parte dei casi la violazione di dati proprio perche’ anche loro sapranno consapevolmente come tutelarli adeguatamente”.