Responsabilizzazione, trasparenza del dato e informativa: ancora sul GDPR

0-1

Responsabilizzazione, trasparenza del dato e informativa: ancora sul GDPR

brokercare 9 dicembre 2019 458 Views 0 Comments Rischi informatici

Di recente abbiamo lanciato Cybernetes, il nuovo programma di cyberconsulenza di Care per le aziende. L’ambizioso progetto consiste in una collaborazione con l’avvocato Maurizio Sala, esperto in materia, per fornire agli interessati una prima analisi informale per verificare l’effettiva preparazione delle imprese ai sensi del nuovo GDPR, preludio di una fase di “messa in sicurezza” successiva rispetto alla normativa e dell’ intervento conclusivo di Care, con la proposta della soluzione  assicurativa cyber più adatta al cliente. Per approfondire ulteriormente le tematiche in questione, abbiamo lanciato a sito una serie di approfondimenti regolari sulla Protezione dei dati personali e il rischio Cyber, proseguito poi con la seconda puntata e la terza. Ci proponiamo di fornire, in pillole, un quadro della legislazione in materia di protezione dei dati delle persone fisiche, grazie all’aiuto dell’avvocato Sala. Ed ecco la quarta puntata con le sue risposte alle nostre domande: 

  1. Ci ha parlato di responsabilizzazione (c.d. accountability) e del passaggio da una normativa prescrittiva ad una con approccio proattivo: in sostanza, il Regolamento non fornisce modalità dettagliate per la protezione del dato. Come può un’azienda valutare il rischio a cui è esposta e provare, eventualmente, di aver fatto tutto il possibile per proteggere i dati raccolti?

Vi sono delle linee guida sul risk assessment da parte di enti di certificazione europei come l’iso che forniscono lo spunto da cui iniziare l’analisi, individuare i modelli di rischio e porre in essere le misure di protezione. Questo giudizio prognostico va comunque fatto con l’assistenza di un legale perché l’ultima istanza non è la prova davanti al Garante, ma davanti al Giudice Civile che deciderà sulle istanze di risarcimento dei danneggiati e giudicherà, confermando o revocando, i provvedimenti sanzionatori del garante. È bene che questa attività sia provata documentalmente con la redazione di un processo simile al Documento di Valutazione dei Rischi in materia di sicurezza sul lavoro. 

  1. Uno dei diritti degli interessati è la trasparenza del trattamento del dato: attraverso quali strumenti l’azienda può garantire questa trasparenza?

Attraverso una corretta mappatura dei trattamenti interni ed esterni, la loro elencazione nel registro dei trattamenti e un’informativa precontrattuale chiara. In caso di nuovi servizi generati sugli stessi dati il cliente va informato prima del loro inizio. 

  1. Ci può parlare brevemente dell’informativa all’interessato?

È lo strumento primo con cui dare attuazione al principio di trasparenza, deve essere completo ma non eccessivamente analitico a pena di perdere chiarezza ed esporre a denunce per trattamento non autorizzato quando si sviluppano servizi accessori secondari da un trattamento principale.

(Erica Larotonda)