Ecco la guida NIST per la protezione dei dati personali

Il regolamento generale sulla protezione dei dati, recepito alla fine di agosto 2018, ha destato in molti titolari e responsabili del trattamento una elevata sensibilità alla protezione dei dati. Per la verità questa sensibilità avrebbe dovuto esistere fin dal lontano 1996, ma dicono i saggi che sia meglio tardi che mai!
Poiché lo stesso problema, seppure con dimensioni diverse, esiste anche negli Stati Uniti, il prestigioso National Standard of information and technology ha pubblicato una guida, articolata secondo la lucida impostazione anglosassone, che permette di guidare titolari e responsabili trattamento nell’impostare una efficiente ed efficace politica di protezione dei dati personali.Uno dei motivi per cui è stata sviluppata questa guida discende dal numero crescente di violazioni dei dati, che ha portato alla perdita di milioni di dati nell’arco degli ultimi anni. È noto che queste violazioni sono pericolose sia per gli interessati coinvolti, sia per le organizzazioni coinvolte. Gli interessati possono essere danneggiati dal furto di identità o da ricatti elettronici, mentre le aziende possono perdere la fiducia del pubblico, essere esposte a responsabilità legali od a costi di messa sotto controllo della perdita.Un approccio corretto è quello grazie al quale si imposta un programma di analisi di rischio e di messa sotto controllo dei rischi individuati.Sotto questo aspetto, la norma internazionale ISO 31000 rappresenta un elemento di riferimento che nessuno può ignorare.Il documento è proprio impostato in maniera da offrire una guida nella identificazione del rischio, connesso alla riservatezza dei dati personali, e alla successiva messa sotto controllo.

Anche se il documento è essenzialmente dedicata alle agenzie federali degli Stati Uniti, esso può essere utile per chiunque debba garantire la riservatezza dei dati personali, che gli interessati gli hanno affidato.

Ecco in breve le principali raccomandazioni riportate nella guida.

Le organizzazioni devono innanzitutto identificare tutti i dati personali che esse gestiscono.

È evidente che non sia possibile proteggere correttamente dei dati personali, se non sappiamo se ne siamo in possesso. Come regola generale, il concetto di dato personale e interpretato in modo estremamente allargato, perché nulla osta a proteggere un dato non personale come se lo fosse, mentre la mancata protezione di un dato personale può creare le conseguenze negative, che abbiamo illustrato. Per dato personale s’intende ogni informazione riferita ad uno specifico individuo, sia di tipo anagrafico, sia di tipo sanitario, educativo, finanziario e legato al rapporto di impiego.

Occorre fare attenzione anche al fatto che è possibile che un’informazione non sia direttamente collegata ad un soggetto specifico, ma sia relativamente facile effettuare successivamente, con vari strumenti, questa connessione.

Le organizzazioni devono minimizzare l’uso, raccolta e la conservazione dei dati personali, sulla base di ciò che è strettamente necessario per le finalità del trattamento.

Nessuno può dimenticare come questa raccomandazione sia in tutto simile a quella riportata nell’articolo 25 del regolamento generale, laddove si raccomanda di minimizzare la quantità di dati raccolti. Per rispettare questa indicazione, è indispensabile che le organizzazioni effettuino periodicamente dei controlli sulla quantità e qualità dei dati raccolti, per essere certi che il principio sia costantemente rispettato.

Una diretta conseguenza di questa raccomandazione è quella di eliminare i dati personali, quando essi non sono più necessari, perché le finalità per le quali sono stati raccolti sono esaurite.

Le organizzazioni devono classificare i dati personali in funzione della loro criticità.

Non tutti i dati personali sono da proteggere allo stesso modo. È indispensabile stabilire delle linee guida per validare delle procedure, che possono classificare il livello di riservatezza, e quindi di protezione, da applicare ai dati. Il livello di riservatezza viene per solito suddiviso in tre categorie, bassa, media, alta, in conseguenza del danno potenziale che potrebbe risultare da un trattamento non appropriato di questi dati, sia da parte dell’organizzazione, sia a causa di un accesso non autorizzato da parte di soggetti terzi. Il documento offre una lista di fattori che l’organizzazione deve prendere in esame per determinare il livello di riservatezza del dato.

Come esempio di questi livelli di riservatezza si illustrano i seguenti:

  1. le identificabilità, vale a dire la facilità con cui un dato personale può essere ricondotta ad uno specifico individuo,
  2. la quantità di dati personali raccolti, laddove la violazione di 25 dati personali, rispetto a 25 milioni, ha indubbiamente un impatto ben differente. Il livello di riservatezza deve essere adattato sulla base della quantità dei dati che potrebbero essere coinvolti in una violazione,
  3. la sensibilità del dato, che fa riferimento alla natura del dato; ed è evidente che un dato sanitario merita una protezione più elevata, rispetto all’indirizzo dello stesso soggetto,
  4. il contesto di uso, laddove le organizzazioni devono valutare le ragioni per le quali i dati sono stati raccolti, archiviati, trattati o comunicati a terzi. Il livello di riservatezza da assegnare ad un dato è direttamente proporzionale, ad esempio, al numero di soggetti ai quali dato potrebbe essere comunicato. Si pensi ad esempio ad un elenco di agenti di polizia che agiscono sotto copertura: è evidente che una violazione di questi dati, anche se in numero limitato, potrebbe avere conseguenze drammatiche per i soggetti coinvolti,
  5. gli obblighi di proteggere la riservatezza, vale a dire il rispetto di obblighi che ogni organizzazione ha, nei confronti dell’interessato, di cui sono stati raccolti i dati,
  6. l’accesso e la ubicazione dei dati, laddove le organizzazioni devono classificare i livelli di accesso al dato e la ubicazione dei dati stessi. Quando i dati vengono consultati spesso e da parte di molte persone, vi possono essere più opportunità di compromettere la riservatezza dei dati coinvolti.

Le organizzazioni devono sviluppare un piano per la gestione della violazione dei dati personali.

Anche il regolamento generale europeo prevede disposizioni similari, perché purtroppo nessuno può affermare di essere esente da questo rischio.

Nessuno può dubitare del fatto che l’adozione di un efficiente ed efficace piano di gestione della violazione dei dati può ridurre le conseguenze sull’azienda e sugli interessati coinvolti. Il piano deve anche includere gli elementi che possono permettere di decidere se gli interessati coinvolti devono essere informati o meno. Ricordo ai lettori che nel regolamento europeo questa decisione deve essere assunta dall’autorità di supervisione nazionale.

Le organizzazioni devono incoraggiare un elevato livello di coordinamento fra i responsabili della protezione dei dati, i responsabili della security, i responsabili informatici e gli uffici legali, per fronteggiare i problemi legati alla protezione dei dati.

È evidente che la protezione della riservatezza dei dati personali richiede un’elevata conoscenza dei sistemi informativi, della sicurezza di questi sistemi, della protezione dei dati e dei requisiti legali connessi. Le decisioni che riguardano la applicabilità o meno di una specifica disposizione di legge o di regolamento devono essere prese dal comitato, di cui fanno parte tutti gli esperti precedentemente elencati.

Questo stesso comitato potrà tenere sotto controllo le politiche aziendali, adattandole all’evoluzione della situazione, in modo che venga garantita la interpretazione corretta dei requisiti imposti da leggi e regolamenti.

Per approfondire l’argomento si rimanda alla lettura della pubblicazione!

 Guida NIST protezione dati personali

Articoli correlati

Scavi a cielo aperto: le novità nella guida Inail 2018
Il termine “scavo” in edilizia indica qualunque asportazione di rocce e/o terra dall’originaria collocazione, necessaria alla creazione di splateamenti, cavità, di forme e dimensioni opportune, necessari per la realizzazione di...
Scopri di più
Inail: salute e sicurezza del personale hotel a bordo delle navi
La tutela della salute e sicurezza della cosiddetta ‘gente di mare’ passa anche attraverso una costante e capillare opera di divulgazione della cultura della prevenzione, finalizzata a rendere sempre più...
Scopri di più
La nuova guida Inail sui sistemi di protezione individuale contro il rischio di caduta dall’alto
Continuiamo a parlare di dispositivi di protezione, opere provvisionali e attrezzature utilizzate dai lavoratori nei cantieri edili attraverso la collana dell’Inail “Quaderni Tecnici per i cantieri temporanei o mobili” In...
Scopri di più
Ecco la guida NIST per la protezione dei dati personali
Il regolamento generale sulla protezione dei dati, recepito alla fine di agosto 2018, ha destato in molti titolari e responsabili del trattamento una elevata sensibilità alla protezione dei dati. Per...
Scopri di più
Il rischio biologico nel settore agro-zootecnico e forestale
Il settore agro-zootecnico continua a costituire in Italia una importante parte della realtà produttiva. In particolare “i dati dell’ultimo censimento dell’agricoltura indicano che nel 2010 in Italia esistevano poco più...
Scopri di più
Inail: utilizzo e classificazione dei trabattelli nei cantieri
Le linee guida di riferimento definiscono i trabattelli come “torri mobili costituite da elementi prefabbricati che presentano uno o più impalcati di lavoro e appoggiano a terra permanentemente su ruote”....
Scopri di più
Sicurezza negli scavi: l’uso di tecniche alternative di scavo
La prevenzione degli infortuni nel mondo del lavoro non è data solo dal rispetto della normativa in materia di sicurezza e dall’applicazione delle protezioni necessarie in presenza di rischi lavorativi,...
Scopri di più
La sicurezza nella sanificazione negli impianti di climatizzazione
Chiariamo subito che per sanificazione, si intende un’attività che ha l’obiettivo di rendere “sano” un oggetto o una superficie; nel caso degli impianti di climatizzazione la sanificazione prevede: la pulizia,...
Scopri di più
Come valutare il rischio microclima nei luoghi di lavoro
Il microclima è il complesso dei parametri climatici dell’ambiente nel quale un individuo vive o lavora. E l’interazione dell’individuo, del lavoratore, con l’ambiente termico che lo circonda “può dar luogo...
Scopri di più
Lavori su coperture e sicurezza: i requisiti dei sistemi di ancoraggio
I sistemi di ancoraggio nelle attività in copertura, usati congiuntamente ai sistemi di arresto caduta, devono impedire che i lavoratori cadano o, comunque, vadano ad impattare contro ostacoli o toccare...
Scopri di più
Riferimenti normativi e tipologie di scale portatili
Se negli ambienti di lavoro le cadute dall'alto rappresentano una delle cause più frequenti di infortuni gravi e mortali, molti di questi infortuni avvengono ancora per cadute da scale portatili,...
Scopri di più
La valutazione dei rischi nelle PLE
Come sappiamo sono molti gli elementi di cui tener conto per poter utilizzare in sicurezza una piattaforma di lavoro mobile elevabile (PLE). E sono molte le possibili cause di infortunio,...
Scopri di più
Privacy, i cittadini all’attacco
Poco più di 95 mila reclami da parte dei cittadini europei. È questo il primo bilancio reso noto dalla Commissione Ue a otto mesi dall’entrata in vigore, il 25 maggio...
Scopri di più
Sostanze chimiche, stretta Ue
Divieto di produzione, vendita e utilizzo di decine di sostanze pericolose e riformulazione dei criteri di classificazione, etichettatura e imballaggio di quelle, invece, ancora ammesse. Diversi sono gli obblighi previsti...
Scopri di più
Contro il rumore vale il diritto alla salute
L'articolo 1, comma 746 della legge 145/2018 ha introdotto il comma 1 bis all'articolo 6 ter della legge 13/2009, disponendo che «Ai fini dell'attuazione del comma 1, si applicano i...
Scopri di più
Non c’è privacy sui giudizi dell’azienda
Un dipendente può chiedere all’azienda l’accesso ai propri dati personali, anche quelli che non hanno carattere oggettivo: informazioni relative a “giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo” contenute...
Scopri di più
Casa-lavoro con lo scudo Inail
Tutela Inail a 360 gradi contro gli infortuni sul lavoro. Comincia da casa, prosegue nel tragitto che conduce al lavoro, poi in fabbrica o ufficio, infine nel percorso di rientro...
Scopri di più
Scaffalature portanti dei magazzini 4.0 con accesso al bonus
Per i magazzini automatizzati interconnessi iperammortamento anche sul costo della scaffalatura metallica portante. Lo stabilisce, con disposizione che supera le difformi conclusioni della risoluzione 62/E/2018, l’articolo 3-quater, comma 4 del...
Scopri di più
Buste paga, privacy doc
Consulenti del lavoro da nominare responsabili esterni del trattamento dei dati personali quando trattano i dati dei dipendenti dei propri clienti. Il Garante della privacy, con una nota diretta al...
Scopri di più
Il committente è responsabile solidale per le retribuzioni non pagate
Responsabilità solidale stretta per il committente nei confronti dei lavoratori dei dipendenti dell’appaltatore. Con la sentenza 444/2019, la Suprema corte si è pronunciata sul regime della responsabilità solidale tra appaltatore...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X
X
X