L’entrata in vigore del GDPR è alle porte e per gli studi professionali è attivato il momento di adeguarsi alle misure di sicurezza previste dal nuovo Regolamento europeo. Si tratta di un adeguamento fondamentale per le attività di compliance con la normativa, ma che prevede dei costi spesso non indifferenti, anche in base alle misure di sicurezza implementate precedentemente dallo studio.
In tema di spese, il GDPR chiarisce che le attività di compliance devono essere correlate alle capacità economiche del titolare dello studio di professionale. Il principio di base, infatti, è la trasparenza, perché se un processo di trattamento dei dati personali è trasparente, sarà anche sicuro.
È quindi fondamentale scegliere gli strumenti più corretti per adeguare le misure di sicurezza dello studio professionale al GDPR, attraverso un’analisi del rischio e un dialogo costante con esperti informatici.
Vediamo quindi nel dettaglio in cosa consiste il principio di trasparenza, così come è espresso nella GDPR, e le misure di sicurezza da mettere in atto.
Il principio di trasparenza nel GDPR
Il principio di trasparenza non è una vera e propria misura di sicurezza, ma è alla base di ogni attività nel trattamento dei dati personali. Tale principio impone che le informazioni destinate al pubblico, o a un destinatario specifico, siano chiare, concise, di facile comprensione e accessibili.
Il linguaggio delle informative deve essere semplice e chiaro e deve permettere di comprendere immediatamente chi raccoglie i dati personali e con quali finalità. In particolar modo i minori sono destinatari di una tutela specifica e l’informazione che li riguarda deve essere ancor più chiara e comprensibile.
Il GDPR però non limita il principio di trasparenza al solo obbligo di informativa, ma lo amplia alle modalità con le quali l’utente può esercitare i diritti che gli spettano; ad esempio, parliamo dei meccanismi volti a richiedere ed ottenere gratuitamente l’accesso ai propri dati personali, la loro eventuale rettifica e cancellazione e per esercitare il diritto di opposizione.
In tal senso, il titolare del trattamento, specie se questo avviene con mezzi elettronici, deve predisporre i mezzi per ricevere le richieste proprio in via elettronica; inoltre, è tenuto a rispondere senza ritardi ingiustificati e comunque entro un mese dalla richiesta, motivando anche l’eventuale intenzione di non accogliere le richieste.
Le misure di sicurezza nello studio professionale
Il GDPR afferma in modo molto chiaro che il titolare del trattamento ha una responsabilità generale per qualsiasi trattamento dei dati personali; questo vale sia se tale trattamento sia stato effettuato direttamente che da altri, per suo conto.
Il titolare deve essere in grado di dimostrare la conformità delle attività di trattamento dei dati personali con quanto previsto dal Regolamento e l’efficacia delle misure messe in atto. Queste misure devono ovviamente considerare la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, oltre che gli eventuali rischi per i diritti e le libertà delle persone fisiche.
In particolare, i rischi per i diritti e le libertà delle persone fisiche possono avere probabilità e gravità diverse e possono scaturire da trattamenti di dati personali suscettibili di provocare un danno fisico, materiale o immateriale. Ad esempio, il trattamento dei dati può causare discriminazioni, perdite economiche, danni alla reputazione, furto d’identità, perdita di riservatezza per i quei dati protetti da segreto professionale e in generale significativi danni sociali ed economici.
Inoltre, i dati trattati possono rivelare le opinioni politiche, le convinzioni religiose, l’origine razziale o etnica, dati genetici e relativi alla salute o ancora alla vita sessuale, nonché condanne penali.
La probabilità e la gravità che i diritti e le libertà dell’interessato possano essere violati devono essere determinate, secondo il GDPR, in base alla natura, all’ambito di applicazione, al contesto e alla finalità del trattamento; il rischio deve perciò essere considerato in base ad una valutazione oggettiva, per stabilire se il trattamento dei dati comporta o meno un rischio elevato.
Vediamo a questo punto quali sono gli strumenti da utilizzare per gestire il trattamento dei dati personali e minimizzare i rischi.
Pseudonimizzazione e crittografia: gli strumenti per il trattamento dei dati
Tra gli strumenti più efficaci per garantire la protezione delle informazioni, anche alla luce delle minacce tecnologiche attuali, ci sono senza dubbio la crittografia e la pseudonimizzazione.
Tali strumenti non dovrebbero mai mancare nello studio professionale e dovrebbero essere utilizzati per tutti i dati trattati.
La cifratura dei dati e la pseudonimizzazione sono strumenti diversi ma che condividono lo stesso fine, quello di oscurare i dati per renderli incomprensibili a chi non ha i codici per accedervi. La crittografia si basa solitamente su un algoritmo di cifratura e una chiave, la passphase, che apre e chiude i dati. Ovviamente questo sistema si rivela efficace se unito a regole che garantiscono la segretezza delle chiavi d’accesso volte a cifrare e decifrare le informazioni.
La pseudonimizzazione, invece, fa in modo che i dati personali non siano attribuibili ad una persona fisica identificabile. Entrambi questi strumenti sono considerati nel GDPR tra i più efficaci per la protezione delle informazioni.