Ecco la guida NIST per la protezione dei dati personali

Il regolamento generale sulla protezione dei dati, recepito alla fine di agosto 2018, ha destato in molti titolari e responsabili del trattamento una elevata sensibilità alla protezione dei dati. Per la verità questa sensibilità avrebbe dovuto esistere fin dal lontano 1996, ma dicono i saggi che sia meglio tardi che mai!
Poiché lo stesso problema, seppure con dimensioni diverse, esiste anche negli Stati Uniti, il prestigioso National Standard of information and technology ha pubblicato una guida, articolata secondo la lucida impostazione anglosassone, che permette di guidare titolari e responsabili trattamento nell’impostare una efficiente ed efficace politica di protezione dei dati personali.Uno dei motivi per cui è stata sviluppata questa guida discende dal numero crescente di violazioni dei dati, che ha portato alla perdita di milioni di dati nell’arco degli ultimi anni. È noto che queste violazioni sono pericolose sia per gli interessati coinvolti, sia per le organizzazioni coinvolte. Gli interessati possono essere danneggiati dal furto di identità o da ricatti elettronici, mentre le aziende possono perdere la fiducia del pubblico, essere esposte a responsabilità legali od a costi di messa sotto controllo della perdita.Un approccio corretto è quello grazie al quale si imposta un programma di analisi di rischio e di messa sotto controllo dei rischi individuati.Sotto questo aspetto, la norma internazionale ISO 31000 rappresenta un elemento di riferimento che nessuno può ignorare.Il documento è proprio impostato in maniera da offrire una guida nella identificazione del rischio, connesso alla riservatezza dei dati personali, e alla successiva messa sotto controllo.

Anche se il documento è essenzialmente dedicata alle agenzie federali degli Stati Uniti, esso può essere utile per chiunque debba garantire la riservatezza dei dati personali, che gli interessati gli hanno affidato.

Ecco in breve le principali raccomandazioni riportate nella guida.

Le organizzazioni devono innanzitutto identificare tutti i dati personali che esse gestiscono.

È evidente che non sia possibile proteggere correttamente dei dati personali, se non sappiamo se ne siamo in possesso. Come regola generale, il concetto di dato personale e interpretato in modo estremamente allargato, perché nulla osta a proteggere un dato non personale come se lo fosse, mentre la mancata protezione di un dato personale può creare le conseguenze negative, che abbiamo illustrato. Per dato personale s’intende ogni informazione riferita ad uno specifico individuo, sia di tipo anagrafico, sia di tipo sanitario, educativo, finanziario e legato al rapporto di impiego.

Occorre fare attenzione anche al fatto che è possibile che un’informazione non sia direttamente collegata ad un soggetto specifico, ma sia relativamente facile effettuare successivamente, con vari strumenti, questa connessione.

Le organizzazioni devono minimizzare l’uso, raccolta e la conservazione dei dati personali, sulla base di ciò che è strettamente necessario per le finalità del trattamento.

Nessuno può dimenticare come questa raccomandazione sia in tutto simile a quella riportata nell’articolo 25 del regolamento generale, laddove si raccomanda di minimizzare la quantità di dati raccolti. Per rispettare questa indicazione, è indispensabile che le organizzazioni effettuino periodicamente dei controlli sulla quantità e qualità dei dati raccolti, per essere certi che il principio sia costantemente rispettato.

Una diretta conseguenza di questa raccomandazione è quella di eliminare i dati personali, quando essi non sono più necessari, perché le finalità per le quali sono stati raccolti sono esaurite.

Le organizzazioni devono classificare i dati personali in funzione della loro criticità.

Non tutti i dati personali sono da proteggere allo stesso modo. È indispensabile stabilire delle linee guida per validare delle procedure, che possono classificare il livello di riservatezza, e quindi di protezione, da applicare ai dati. Il livello di riservatezza viene per solito suddiviso in tre categorie, bassa, media, alta, in conseguenza del danno potenziale che potrebbe risultare da un trattamento non appropriato di questi dati, sia da parte dell’organizzazione, sia a causa di un accesso non autorizzato da parte di soggetti terzi. Il documento offre una lista di fattori che l’organizzazione deve prendere in esame per determinare il livello di riservatezza del dato.

Come esempio di questi livelli di riservatezza si illustrano i seguenti:

  1. le identificabilità, vale a dire la facilità con cui un dato personale può essere ricondotta ad uno specifico individuo,
  2. la quantità di dati personali raccolti, laddove la violazione di 25 dati personali, rispetto a 25 milioni, ha indubbiamente un impatto ben differente. Il livello di riservatezza deve essere adattato sulla base della quantità dei dati che potrebbero essere coinvolti in una violazione,
  3. la sensibilità del dato, che fa riferimento alla natura del dato; ed è evidente che un dato sanitario merita una protezione più elevata, rispetto all’indirizzo dello stesso soggetto,
  4. il contesto di uso, laddove le organizzazioni devono valutare le ragioni per le quali i dati sono stati raccolti, archiviati, trattati o comunicati a terzi. Il livello di riservatezza da assegnare ad un dato è direttamente proporzionale, ad esempio, al numero di soggetti ai quali dato potrebbe essere comunicato. Si pensi ad esempio ad un elenco di agenti di polizia che agiscono sotto copertura: è evidente che una violazione di questi dati, anche se in numero limitato, potrebbe avere conseguenze drammatiche per i soggetti coinvolti,
  5. gli obblighi di proteggere la riservatezza, vale a dire il rispetto di obblighi che ogni organizzazione ha, nei confronti dell’interessato, di cui sono stati raccolti i dati,
  6. l’accesso e la ubicazione dei dati, laddove le organizzazioni devono classificare i livelli di accesso al dato e la ubicazione dei dati stessi. Quando i dati vengono consultati spesso e da parte di molte persone, vi possono essere più opportunità di compromettere la riservatezza dei dati coinvolti.

Le organizzazioni devono sviluppare un piano per la gestione della violazione dei dati personali.

Anche il regolamento generale europeo prevede disposizioni similari, perché purtroppo nessuno può affermare di essere esente da questo rischio.

Nessuno può dubitare del fatto che l’adozione di un efficiente ed efficace piano di gestione della violazione dei dati può ridurre le conseguenze sull’azienda e sugli interessati coinvolti. Il piano deve anche includere gli elementi che possono permettere di decidere se gli interessati coinvolti devono essere informati o meno. Ricordo ai lettori che nel regolamento europeo questa decisione deve essere assunta dall’autorità di supervisione nazionale.

Le organizzazioni devono incoraggiare un elevato livello di coordinamento fra i responsabili della protezione dei dati, i responsabili della security, i responsabili informatici e gli uffici legali, per fronteggiare i problemi legati alla protezione dei dati.

È evidente che la protezione della riservatezza dei dati personali richiede un’elevata conoscenza dei sistemi informativi, della sicurezza di questi sistemi, della protezione dei dati e dei requisiti legali connessi. Le decisioni che riguardano la applicabilità o meno di una specifica disposizione di legge o di regolamento devono essere prese dal comitato, di cui fanno parte tutti gli esperti precedentemente elencati.

Questo stesso comitato potrà tenere sotto controllo le politiche aziendali, adattandole all’evoluzione della situazione, in modo che venga garantita la interpretazione corretta dei requisiti imposti da leggi e regolamenti.

Per approfondire l’argomento si rimanda alla lettura della pubblicazione!

 Guida NIST protezione dati personali

Articoli correlati

Siti confinati, lavoro al sicuro
Non è ammesso il ricorso al subappalto, se non espressamente autorizzato dal datore di lavoro committente e debitamente certificato, in relazione alle attività lavorative che si svolgono in ambienti sospetti...
Scopri di più
La lettera di contestazione va letta
Il dipendente è tenuto ad accettare la consegna manuale di una contestazione disciplinare, se questa avviene sul luogo di lavoro; tuttavia la consegna non si perfeziona se un delegato dell’azienda...
Scopri di più
GDPR, poche le società pronte al test
Uno studio della società internazionale di consulenza Gartner rileva che solo quattro su dieci privacy manager ritengono le società di appartenenza preparate ad affrontare e governare il Regolamento Ue sulla...
Scopri di più
La sicurezza giustifica un no
Il rifiuto di rendere la prestazione lavorativa richiede una valutazione comparativa. Infatti, affinché il dipendente possa legittimamente sottrarsi dall’obbligazione contrattuale, in caso di inosservanza da parte del datore di lavoro...
Scopri di più
Privacy, 90 adempimenti inutili
Manicomio privacy: oltre 90 adempimenti, per la maggior parte non codificati, e nessuna possibilità di mettersi al riparo da pesantissime sanzioni, anche impegnando tutta la diligenza possibile. Lo scorso 19...
Scopri di più
Verifica difficile della recidiva per lavoro irregolare e sicurezza
Ai fini della individuazione della recidiva, che determina il raddoppio delle maggiorazioni da applicarsi alle sanzioni in caso di violazioni in materia di lavoro irregolare (20% che diventa 40%) e...
Scopri di più
Scaffalature 4.0, bonus nel 2019 con l’integrazione della perizia
Il giuramento della perizia (indipendentemente dalla data di consegna di tale documento all’impresa) consente (in presenza di tutti gli altri requisiti richiesti) di iniziare a stanziare l’iper ammortamento. Questo principio...
Scopri di più
Premi Inail più cari nel 2019
Premi Inail poco più cari quest’anno. La rivalutazione degli importi dei limiti di retribuzione è dell’1,1% in base alla variazione dell’Istat ed eleva il minimale giornaliero da 48,20 (anno 2018)...
Scopri di più
Bando Isi, corsa contro il tempo
Operativa la prima fase del bando Isi 2018. Infatti, dall’11 aprile scorso fino alle 18:00 del 30 maggio 2019, le aziende interessate possono compilare e salvare telematicamente la propria domanda...
Scopri di più
Videocontrolli, iter senza bis
In caso di cambio della titolarità dell’impresa, non bisogna ripetere la procedura di accordo/autorizzazione per l’installazione di impianti audiovisivi o di altri strumenti per il controllo a distanza dei lavoratori....
Scopri di più
Prima verifica periodica autogrù, ecco come procedere
Ai sensi del dlgs 81/2008 e s.m.i., le attrezzature di lavoro elencate nell’allegato VII devono essere sottoposte a verifiche periodiche al fine di verificare lo stato di conservazione e di...
Scopri di più
Agenti chimici pericolosi, opuscolo Inail, rischi, Testo Unico, Reach e Clp
Agenti chimici pericolosi. Questo il titolo di uno degli ultimi volumi pubblicati da Inail nella collana Salute e sicurezza. Un opuscolo con istruzioni per lavoratori e Rappresentati dei lavoratori per...
Scopri di più
Gli obblighi del primo soccorso: la classificazione delle aziende
Se il primo soccorso aziendale deve essere inteso come un processo integrato nel sistema di prevenzione e riduzione degli infortuni, “anche per il primo soccorso e per la redazione del...
Scopri di più
Rifiuti speciali pericolosi, cosa c’è da sapere
Il D.Lgs. n. 152/2006, cosiddetto "testo unico ambientale”, all'art. 184 distingue tra rifiuti urbani e rifiuti speciali. Questi ultimi, cioè i rifiuti prodotti da enti e imprese, si dividono a...
Scopri di più
Prevenzione incendi, nuova regola tecnica per impianti distribuzione idrogeno
Pubblicata in Gazzetta Ufficiale (n. 257 del 6 novembre 2018) il decreto 23 ottobre 2018 del Ministero dell’Interno, recante “Regola tecnica di prevenzione incendi per la progettazione, costruzione ed esercizio...
Scopri di più
Sorveglianza sanitaria: utilizzo dei dati collettivi e valutazione clinica
Per organizzare la sorveglianza sanitaria dei lavoratori esposti al rischio da sovraccarico biomeccanico, la Regione Lombardia con Decreto regionale 21 dicembre 2017, n. 16750 - recante “Indirizzi per la sorveglianza...
Scopri di più
Rifiuti: cosa separa l’abusività dall’illecito?
Il reato di attività organizzate per il traffico illecito di rifiuti, ora previsto e punito dall'art. 452-quaterdecies del codice penale (che ha sostituito senza modificazioni l'art. 260, D.Lgs. n. 152/2006)...
Scopri di più
Mud 2019, più dati alle CCIAA
Più tempo a enti e imprese per presentare alle Camere di commercio la dichiarazione ambientale Mud 2019, che potrà essere inoltrata fino al 22 giugno in luogo della più stretta...
Scopri di più
La conferma: abolito il Sistri…e ora Sistri 2.0 all’orizzonte?
Nelle prime settimane dello scorso dicembre è circolata una bozza di "decreto legge semplificazioni" che riporta una serie di novità in temi ambientali; due di queste si distinguevano, però, per...
Scopri di più
Rifiuti, torna l’onere per la tracciabilità
Il Governo incassa a Montecitorio la sua nona fiducia (sei alla Camera e tre al Senato) con 310 si, un astenuto e 245 no, su quello che a metà dicembre...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X
X
X