Introduzione
Da quando è comparso nel panorama normativo comunitario ed italiano, il Regolamento europeo per la protezione dei dati personali (GDPR) ha generato il panico. Ovunque si è diffuso il timore della sanzione – fino al 4% del fatturato e fino a 20 milioni euro – e si è scatenata una corsa affannosa per mettersi in regola, in molti casi facendo più attenzione alla conformità formale che a quella sostanziale, senza acquisire quella consapevolezza indispensabile per essere conformi al Regolamento. Possiamo affermarlo a ragion veduta, perché in Clickable collaboriamo con PrivacyLab, azienda guidata da Andrea Chiozzi, esperto di privacy e protezione dei dati personali, consulente per le aziende e Privacy Evangelist, figura da lui creata nel 2003 per diffondere un approccio ottimizzato alla gestione della Privacy.
Accountability: il prerequisito per essere in regola col GDPR
Violazione dei dati personali e Gorilla Data Breach
- accesso non autorizzato, che se commesso volontariamente è spionaggio: qualcuno non poteva vedere certe informazioni, ma le ha viste
- copia non autorizzata, che se commessa volontariamente è furto: qualcuno ha preso dei dati che non poteva prendere e li ha copiati altrove
- divulgazione non prevista, che se commessa volontariamente è diffusione: qualcuno ha diffuso dei dati personali
- divulgazione non prevista, che se commessa volontariamente è diffusione: qualcuno ha diffuso dei dati personali
- modifica non autorizzata, che se commesso volontariamente diventa compromissione: qualcuno ha modificato dei dati che non poteva modificare
- perdita d’accesso, che se commessa volontariamente si chiama cifratura: qualcuno perde delle informazioni, che non sono più disponibili
- cancellazione dei dati, che se commessa volontariamente si chiama distruzione volontaria: qualcuno cancella il file che conteneva delle informazioni che erano state salvate solo lì.
PrivacyLab un’azienda dalle molte anime: software cloud, consulenza, formazione
- verificare la sicurezza dei dati personali trattati
- determinare le misure necessarie per trattare correttamente i dati personali
- fare l’analisi dei rischi, il piano di compliance e l’impact assessment (DPIA)
- generare i registri dei trattamenti, gli atti di nomina e i contratti
- archiviare e tenere traccia di tutti i documenti prodotti
- informare i soggetti interessati, raccogliere il consenso e generare la cookie policy
- configurare correttamente la gestione dei dati
- tenere sempre sotto controllo la struttura organizzativa
- monitorare la liceità dei trattamenti e verificarne la messa in sicurezza