Il Regolamento EU 679/2016 per la protezione dei dati personali (GDPR) richiede che venga attuato quanto necessario al fine di garantire che le misure tecniche e organizzative di protezione dei dati siano mantenute aggiornate. Sulla base del principio di accountability, il titolare del trattamento deve essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR, in particolare per quanto riguarda l’efficacia delle suddette misure tecniche e organizzative.
L’art. 32 del GDPR cita che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
Inoltre, nel corso del 2020 si sono verificati alcuni eventi di cui il Titolare del trattamento deve tenere conto nella valutazione dell’efficacia delle misure attuate:
- Abolizione del Privacy-Shield con gli USA;
- Brexit;
- Approvazione dell’equivalente del GDPR in Brasile.
E’ noto che molte aziende hanno adeguato al GDPR i propri documenti “Privacy” nel 2018. Ma successivamente cosa è stato fatto? Il Titolare del trattamento ha eseguito dei riesami documentati? La valutazione dei rischi è aggiornata sulla base dei nuovi rischi emergenti? (ad esempio il rischio derivante dalla cessazione dell’aggiornamento di Windows nelle versioni precedenti a Windows 10).
Il GDPR, a differenza del precedente D.Lgs. 196, è da considerare equivalente ad un sistema di gestione che, come tale, si basa sul ciclo di Deming (plan-do-check-act) ovvero pianifico, metto in atto, verifico, riesamino e attuo le azioni di miglioramento.
Il Titolare del trattamento deve adeguarsi a questo principio e deve mettersi nelle condizioni di potere dimostrare con evidenze oggettive, secondo il principio di accountability, di avere la situazione sotto controllo.
Se dal 2018 la vostra azienda non ancora fatto né un audit, un riesame o non sono mai stati aggiornati il registro dei trattamenti e la valutazione dei rischi, è opportuno che il Titolare del trattamento provveda con la massima urgenza al fine di adempiere al requisito di cui all'art. 32 del GDPR oltre che di rispettare il citato principio di accountability.