Categoria: Rubriche

La violazione dei dati può consistere, per esempio, in un accesso indesiderato, nella divulgazione non autorizzata, nell’alterazione, della indisponibilità, perdita o distruzione dei dati. Ma per renderci conto che tale evento si sia verificato il sistema deve essere organizzato per rilevare le eventuali violazioni. Per esempio: la violazione potenziale dei dati di una cartella cartacea […] Leggi tutto

Il riesame, però, non è necessario solo quando accade un evento che mette a rischio riservatezza, integrità, o disponibilità di uno o più dati personali (cioè quando avviene una violazione dei dati o data breach). Anzi questa è l’eccezione, perché, come vedremo, il riesame è un processo periodico e ordinario. Il riesame straordinario a seguito […] Leggi tutto

Assumendo come riferimento la classificazione in 4 livelli dell’impatto potremmo, sempre a titolo esemplificativo, stabilire che: Per il livello 1 (fino a 9 – verde) sono considerati sufficienti le misure generali di protezione dei dati; Per il livello 2 (fino a 19 – giallo) sono necessarie anche le misure specifiche. Nella fase di progettazione le […] Leggi tutto

Le misure (descritte in maniera dettagliata nel registro del trattamento dei dati) che possono essere prese per ridurre il rischio e l’impatto del trattamento sulla protezione dei dati possono essere: misure generali di tipo Tecnologico: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni; Organizzativo: ruoli, governance, istruzioni, […] Leggi tutto

La valutazione dell’impatto del trattamento sulla protezione dei dati a partire dai rischi potenziali può essere effettuata combinando la stima della possibilità di accadimento con la gravità relativa agli effetti che l’eventuale verificarsi di accadimenti a rischio può determinare. Ad ogni rischio potrebbe essere connessa una stima valoriale (numerica) della possibilità di accadimento: POSSIBILITA’ DI […] Leggi tutto

Per ogni combinazione emergente dalla matrice di identificazione dei trattamenti dei dati  sono individuati i rischi potenziali. A titolo esclusivamente esemplificativo si potrebbe presentare una matrice dell’impatto del trattamento dei dati con queste caratteristiche. Descrizione trattamento Obiettivi Rischio Possibili effetti complessivi per l’interessato Raccolta dei dati identificativi di contatto e fiscali dei clienti/datori di lavoro […] Leggi tutto

Il verificarsi di un accadimento a rischio può determinare effetti generali negativi per l’interessato. Per esempio: Gli accessi non desiderati possono consentire un furto d’identità ed in alcuni casi anche perdite finanziarie (per esempio nel caso di furto d’identità legato a carte di credito). Le divulgazioni non autorizzate possono determinare danni per la reputazione dell’interessato […] Leggi tutto

Sono sostanzialmente solo tre gli obiettivi che un sistema di protezione dei dati deve garantire: riservatezza, integrità e disponibilità. La riservatezza è la proprietà del processo che assicura che le informazioni non siano rese disponibili o divulgate a individui, entità o processi non autorizzati. I rischi possono essere, per esempio, gli accessi non desiderati e […] Leggi tutto

In primo luogo è necessario identificare i dati personali trattati ed il tipo di trattamento, le sue finalità e le sue modalità. Si potrebbe, per esempio, costruire una tabella di corrispondenza (una matrice) in cui connettere: Le tipologie di dati personali trattati: identificativi, sensibili, giudiziari; dei processi dell’Organizzazione in cui tali dati vengono trattati. Per […] Leggi tutto

Il regolamento generale per la protezione dei dati UE 2016/679 (General Data Protection Regulement, in acronimo GDPR) è applicabile (e deve essere applicato) a qualsiasi organizzazione che tratta [1] dati personali [2]. Il criterio di proporzionalità dei provvedimenti da assumere per assicurare riservatezza, integrità e disponibilità dei dati è fondamentale: ogni organizzazione è un caso […] Leggi tutto