Misure tecniche e organizzative – valutazione del rischio
Le misure di sicurezza costituiscono un importante strumento di accountability e responsabilizzazione del Titolare del Trattamento.
Possiamo operare una macro distinzione delle misure di sicurezza in due categorie: misure tecniche e misure organizzative.
Misure Tecniche
Per misure tecniche si intendono quelle misure o metodologie, soprattutto di tipo informatico, che consentono, mediante l’utilizzo di accorgimenti tecnici, di controllare, presidiare e limitare l’accesso ai dati personali nonché di impedire l’identificazione del soggetto interessato a soggetti che non siano autorizzati a trattare i dati.
Misure Organizzative
Per misure organizzative si intendono tutte le azioni e le iniziative che predispongono i Titolari del Trattamento ed i Responsabili del Trattamento al fine del rispetto dei principi di tutela dei Dati Personali di cui alle normative vigenti, quali ad esempio la redazione di procedure ad hoc per determinati processi aziendali, la formazione e l’istruzione del personale ecc.
Artt 7e 8: Provvedimenti Tecnico Organizzativi che devono essere realizzati dal Titolare del Trattamento.
Art 7: il Titolare del Trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei Dati Personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all’art. 6, e li adotta sin dalla progettazione.
Quindi questi provvedimenti tecnici e organizzativi devono essere tali da essere conformi ai principi fondamentali delle persone fisiche.
“Li adotta sin dalla progettazione“, si richiama un concetto, del Privacy By Design; questo significa che i provvedimenti tecnico organizzativi devono essere pensati e definiti fin dall’inizio, quando si delinea o si progetta un trattamento nuovo.
Perciò, al fine di operare in maniera preventiva, è necessario assicurarsi che questi requisiti di sicurezza possano essere ideati e applicati fin dal primo momento.
Art. 7: I provvedimenti tecnico organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all’entità del trattamento.
In attesa di ricevere indicazioni rispetto a quanto verrà disciplinato in materia, le organizzazioni devono applicare le misure di sicurezza più adeguate alla tutela dei dati personali facendo riferimento ed utilizzando quali Best Practices le misure previste nel Documento Standard Minimo per Migliorare la Resilienza delle Tic, rilasciato dall’Ufficio Federale.
Art. 8: Il Titolare e il Responsabile del Trattamento garantiscono mediante appropriati provvedimenti tecnici e organizzativi che la sicurezza dei dati personali sia adeguata al rischio.
In questo caso sia il Titolare che il Responsabile devono garantire la sicurezza dei dati personali applicando dei provvedimenti che siano adeguati al rischio e allo stesso tempo in grado di evitare violazioni sulla sicurezza dei dati personali.
Art. 8: Il Consiglio Federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
E’ dunque possibile che nei prossimi mesi si abbiano novità sulle misure tecniche e organizzative da prendere in considerazione.