La sicurezza del trattamento Il Regolamento UE 679/2016 nel concetto di Accountability racchiude le attività che il titolare deve porre in essere per garantire che i trattamenti siano svolti nel rispetto della dignità e delle libertà individuali e che gli stessi trattamenti garantiscano un livello adeguato di sicurezza. La sicurezza non riguarda solo i dati trattati in formato elettronico ma tutti i dati personali qualunque sia la modalità di trattamento. Sarà quindi necessario fare una ricognizione dei vari trattamenti svolti e delle modalità con cui sono effettuati per valute a quali rischi siano esposti i dati e intraprendere misure adeguate per garantirne la sicurezza. All.art.32 il Regolamento indica: … il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento... Come specificato nel testo (tra le altre, se del caso) l’elenco è tutt’altro che esaustivo. Spetta al titolare determinare le altre misure da adottare per proteggere i dati. Di seguito un elenco (anche questo non esaustivo) delle possibili misure di sicurezza: ✓ utilizzo di un sistema di autorizzazione informatica; ✓ accesso ai soli incaricati dotati di credenziali di autenticazione (user Id e Password) da modificare ogni tre o sei mesi; ✓ upgrade degli aggiornamenti software; ✓ antivirus e firewall; ✓ screensaver a tempo da disattivare con password; ✓ effettuazione delle copie di backup ed adeguata conservazione dei supporti di copia; ✓ verifica del buon esito del backup ✓ verifica del ripristino dei dati ✓ verifica dei servizi (backup, ripristino, disponibilità dei dati) garantiti dal fornitore Cloud) ✓ previsione di un’adeguata custodia dei documenti cartacei contenenti dati personali.. Il registro dei trattamenti La tenuta del registro dei trattamenti è obbligatoria per tutti quei soggetti che si avvalgono di dipendenti nello svolgimento dell'attività. L’Autorità Italiana lo considera in ogni caso un adempimento che se intrapreso facoltativamente dai diversi titolari, evidenzia una corretta gestione del trattamento dei dati. Il sito web dell’Agenzia Il regolamento UE indica chiaramente che gli IP sono dati personali. Ne consegue che tutti i siti debbano essere forniti di informativa privacy sul trattamento dei dati (IP) dei soggetti che visitano il sito stesso. Queste informazioni in genere sono riepilogate nella Privacy Policy del sito. Se nel sito è presente un’area “contatti” o un forum di richiesta informazioni, è necessario che l’interessato possa prendere visione dell’informativa (è possibile inserire un link). Nel caso si voglia poter utilizzare i dati dell’interessato anche per inviare comunicazioni marketing, si deve poter ricevere il relativo consenso, indicando delle caselle su cui l’interessato possa selezionare “acconsento” “non acconsento”. Le caselle di spunta (flag) non devono essere preselezionate. Cookie Se il sito utilizza cookie di profilazione è necessario che questi siano indicati nell’informativa breve (banner) e che l’interessato acconsenta al loro utilizzo. Se non si utilizzano cookie di profilazione ma esclusivamente cookie funzionali o tecnici il consenso non deve essere richiesto.