Quando vengono raccolti, conservati o, in generale, trattati dati personali, è fondamentale adottare misure per garantire che i dati vengano trattati in modo sicuro, al fine di evitare rischi per i diritti e le libertà delle persone fisiche.
Per tale ragione, è necessario determinare il possibile livello di rischio derivante dal trattamento rispetto alla specifica tipologia di trattamento, alla complessità del medesimo, alla natura dei dati trattati e calibrando poi il giusto livello di protezione.
Esaminare il livello di rischio significa immaginare i possibili danni per i diritti e le libertà che potrebbero derivare alle persone fisiche e cercare di gestire preventivamente quel rischio.
Di quali rischi si tratta?
Secondo le indicazioni del considerando 75 del GDPR, occorre tenere in considerazioni i rischi da cui potrebbero derivare: discriminazione, furto di identità o frode, perdite finanziarie, danni al
reputazione, perdita di riservatezza dei dati personali protetti dal segreto professionale,
annullamento non autorizzato della pseudonimizzazione; o qualsiasi altro svantaggio significativo di natura economica o sociale.
Una valutazione del rischio ha anche l’effetto di migliorare la consapevolezza del titolare con riguardo a potenziali futuri problemi di protezione dei dati associati a un trattamento.
Il GDPR prevede due concetti cruciali con riguardo alla progettualità: la privacy by design e la privacy by default che impongono la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Applicare tali principi può contribuire a garantire una protezione migliore e più efficace per la protezione delle persone fisiche.
I passaggi chiave da intraprendere per garantire la conformità al GDPR
✓ Identificare i dati personali in tuo possesso (questo può essere ottenuto definendo il file
informazioni elencate nell’articolo 30 GDPR o per le aziende più piccole un processo su misura come il modello di accompagnamento che identifica i dettagli dei dati personali detenuti).
✓ Condurre una valutazione del rischio dei dati personali in tuo possesso e dei tuoi dati
attività di trattamento.
✓ Implementare misure tecniche e organizzative adeguate per garantire i dati siano trattati e conservati in sicurezza. Il livello di sicurezza da implementare dipenderà dal tipo di dati personali in tuo possesso ed i possibili rischi che potrebbero verificarsi.
✓ Individuare la corretta ed appropriata base giuridica per ciascuna finalità di trattamento.
✓ Raccogliere solo la quantità minima di dati personali necessaria per la finalità individuata e conservarli solo per il tempo strettamente necessario.
✓ Garantire la trasparenza delle informazioni agli interessati, rispettando i requisiti di cui agli artt.12-14 GDPR.
✓ Stabilire se i dati personali elaborati rientrano o meno nelle categorie particolari di dati personali e, in caso positivo,individuare ulteriori precauzioni che si rendessero necessarie.
✓ Valutare l’opportunità della nomina del Data Protection Officer (DPO) o nominarlo in caso di dubbio.
✓ Essere in grado di facilitare e gestire agevolmente le richieste di esercizio dei diritti degli interessati quali accesso, rettifica, cancellazione, revoca del consenso, portabilità dei dati e diritto di opposizione.✓ Adottare policy e regolamenti interni, curandone l’aggiornamento.