Statistiche accessi

Appunti e aggiornamenti in materia di privacy: Misure di sicurezza in internet

Tecnico
line
Studio
eagle
Studio Tecnico
eagle line
Babbo Natale
Studio Tecnico
eagle line
Babbo Natale
Vai ai contenuti

Appunti e aggiornamenti in materia di privacy: Misure di sicurezza in internet

Studio Tecnico Eagle Line: Corsi Specialistici per la Sicurezza sul Lavoro e Privacy
Pubblicato da Per. Ind. Walter Spertino in Privacy · Martedì 06 Set 2022
Misure di sicurezza in internet

 
  • La commissione europea  circa  la sicurezza delle reti e sicurezza dell’informazione ha dato una linea guida circa i requisiti che deve avere una rete di sicurezza:
    • Disponibilità, capacità di rendere sempre disponibili  i dati a chi ha titolo per trattarli, oltre a ridurre il rischio di cancellazione o modifica dei dati da parte di chi non è autorizzato a farlo.
    • Autenticazione, con una autenticazione univoca del soggetto con password (poco sicuri), sistemi biometrici, smartcard.
    • Integrità con riduzione del rischio di cancellazione o modifica dei dati.
    • Riservatezza che renda accessibile i dati solo a chi è autorizzato a fruirne.
  • Tuttavia la tecnologia ha superato le aspettative di legge introducendo il concetto di verificabilità e reattività.
    • La verificabilità è la capacità del responsabile del sistema informatico di riconoscere e collocare i trattamenti dei dati e accertare le responsabilità di chi lo tratta.
    • La reattività è la capacità del sistema di rispondere ad atti e fatti che possono essere potenzialmente lesivi e dannosi.
  • I sistemi di sicurezza sono solo indirettamente sinonimo di garanzia di riservatezza. La riservatezza infatti è garantita dalle norme che stabiliscono il limite del segreto, cosa lo sia e cosa non lo sia.
  • Il titolare del trattamento dei dati, è obbligato ad adottare misure di sicurezza per migliorare il controllo e la custodia dei dati tenendo conto del progresso tecnologico, della natura dei dati e del tipo di trattamento dei dati fatto.
  • La sicurezza dei dati deve essere concepita sin dalla progettazione (privacy by design) con pseudonimizzazione e deve esserlo per impostazione predefinita (privacy by default) circa i dati necessari per ogni finalità del trattamento, in modo che non siano accessibili a un numero indefinito di persone fisiche, ma siano possibili scelte veicolate dal sistema, riducendo così la possibilità da parte dell'utente di modificare le impostazioni già previste (art. 25 GDPR).
  • Un esempio di applicazione dell’articolo 25 GDPR,  è la pseudonimizzazione, ovvero una metodologia basata sulla crittografia o cifratura dei dati, per allontanare il dato dalla persona a cui è riferito, mantenendo però il legame alla stessa persona.
  • La valutazione di impatto privacy (Considerando 71 GDPR) prescrive che il trattamento dei dati deva essere preceduto da un’analisi dei rischi,  svolgendo una valutazione di impatto dei dati e una concreta strategia per prevenire le criticità.
  • L'art. 33 del GDPR prescrive la valutazione di impatto circa il trattamento dei dati automatizzato e profilazione compresa.
  • L'art. 43 GDPR, circa il trasferimento dei dati al difuori dei confini europei attribuisce il diritto al trattamento dei dati che sono riconosciuti dal GDPR.
  • L'art. 35 impone la valutazione di impatto da svolgersi prima del trattamento sui dati nei casi di profilazione, trattamento di dati su larga scala (soprattutto se riguardanti le condizioni di salute). Il garante, ha redatto una categoria soggetta alla valutazione di impatto.
  • È necessario poi svolgere controlli periodici circa le misure di sicurezza predisposte.
  • Prevedere una descrizione dei trattamenti e delle finalità del trattamento oltre a fare una valutazione di quanto sia necessario trattare i dati.
  • Una valutazione di proporzionalità rispetto alla finalità.
  • Una valutazione dei rischi per la libertà degli interessati comprensiva delle misure da prendere per affrontare i rischi.
  • Considerando 78 e art. 25 GDPR stabiliscono che il monitoraggio regolare e sistematico degli interessi  con tecnologie di profilazione vale sia per privati che per enti pubblici.
  • Il titolare del trattamento, deve tenere dei registri che documentino gli adempimenti e le procedure attinenti a ogni trattamento.
  • L'art. 32 GDPR dice che le misure di sicurezza devono garantire un livello di sicurezza adeguato al rischio.
  • La violazione delle misure di sicurezza informatica è reato e pertanto chi raccoglie,  tratta e conserva  informazioni improprie provenienti da un soggetto non consenziente ricade in questa violazione.
  • Chi conserva informazioni proprie ma per malfunzionamento del sistema informatico di protezione dei dati, li rende disponibili ad altri o peggio ancora, rende di pubblico dominio le informazioni contenute nei dati, viola la garanzia della riservatezza e si configura quindi una violazione delle regole di sicurezza.


                                               


Per. Ind. Walter Spertino
Albo dei Periti Industriali
P.I. 03705300105 Via Sant Alberto 12/15 16154 (GE)
e Industriali Laureati - N.° 1668 Genova
Pagina Linkedin Eagle Line
Per. Ind. Walter Spertino
Genova
Via Sant Alberto 12/15 16154 (GE)
P.I. 03705300105
Iscrizione N.1668
________________________________________________________________________________
Torna ai contenuti