e. l’attuale stato dell’arte delle misure di protezione organizzative, tecniche e fisiche per la protezione dei dati e f. il costo dei mezzi disponibili per migliorare la sicurezza e ridurre le vulnerabilità dei dati in relazione ai rischi e alla natura dei dati. Mentre poi l’articolo 32 del GDPR elenca solo esemplificativamente alcune misure di sicu- rezza che possono considerarsi adeguate (pseudonimizzazione, crittografia, etc), l’ADPPA fornisce una classificazione delle misure che costituiscono un nucleo minimo delle prati- che e politiche amministrative, organizzative fisiche e tecniche che devono essere imple- mentate e mantenute dai titolari o dai responsabili del trattamento. Si tratta, in particolare di questi specifichi “ requirements ”: Assessment delle vulnerabilità - Individuare e valutare ogni rischio interno ed esterno e ogni vulnerabilità nella sicurezza di ogni sistema gestito dal titolare o dal responsabile del trattamento che raccoglie, tratta o trasferisce i dati per conto del titolare, compresi gli ac- cessi non autorizzati, i possibili errori umani, i diritti di accesso e i rischi derivanti dalla scelta dei fornitori. Per quanto riguarda i grandi detentori di dati ( Large Data Holders ), l’ as- sessment delle vulnerabilità deve includere un piano per ricevere e rispondere a segnalazio- ni non richieste di vulnerabilità da parte di qualsiasi entità o individuo. Adozione di azioni preventive e correttive. Tali azioni sono volte a ridurre qualsiasi rischio o vulnerabilità ragionevolmente prevedibili per i dati e identificati dal titolare o dal re- sponsabile del trattamento, coerentemente con la natura di tali rischi o vulnerabilità; le azioni possono includere l’attuazione di misure di salvaguardia organizzative, tecniche o fisiche o modifiche alle politiche di sicurezza o all’architettura, all’installazione o all’im- plementazione della rete o del software operativo. • Valutazione delle azioni preventive e correttive. Valutare e apportare ragionevoli mo- difiche alle misure appena sopra descritte, alla luce di eventuali cambiamenti sostan- ziali nella tecnologia, delle minacce interne o esterne ai dati e dell’evoluzione degli accordi commerciali o delle operazioni di trattamento svolte dal titolare o dal respon- sabile del trattamento. • Conservazione e cancellazione dei dati. Attuare la cancellazione dei dati che devono essere cancellati per legge o che non sono più necessari per lo scopo per cui sono stati raccolti, trattati o trasferiti, a meno che un interessato non abbia fornito un consenso esplicito alla ulteriore conservazione. Tale eliminazione comprende la distruzione, la cancellazione definitiva o la modifica in altro modo dei dati per renderli definitivamen- te illeggibili o indecifrabili e irrecuperabili, al fine di garantire la conformità continua alle misure di sicurezza previste.
60
Made with FlippingBook Online newsletter maker