Previous Page  31 / 53 Next Page
Information
Show Menu
Previous Page 31 / 53 Next Page
Page Background

SPECIALE GDPR

61

dicembre 2017

prosegue a pagina 64

© iStock - maxkabakov

re tecniche e organizzative adeguate per garantire un

livello di sicurezza adeguato al rischio, che comprendo-

no, tra le altre, se del caso: a)la pseudonimizzazione e

la cifratura dei dati personali”.

Dall’anonimizzazione alla pseudonimizzazione

Incontriamo, dunque, una delle innovazioni introdotte

dal regolamento, ossia la pseudonimizzazione dei dati.

Questa altro non è che un metodo di trattamento dei

dati personali che permette di non attribuire gli stessi

a un soggetto specifico, se non utilizzando informazioni

aggiuntive, a condizione però che queste vengano con-

servate separatamente e siano soggette a misure tecniche

e organizzative atte a garantire che tali dati personali

non vengano attribuiti a una persona fisica identificata

o identificabile.

È questo un concetto che prende spunto dalla prece-

dente normativa (direttiva 95/46/CE) la quale prevedeva

la tecnica dell’anonimizzazione dei dati, ma allo stesso

tempo si differenzia da quest’ultima.

L’anonimizzazione infatti consiste in un trattamento di

dati volto a impedire irreversibilmente l’identificazione

del soggetto trattato. In altri termini per ‘dati anonimi’

si intendono le informazioni concernenti una persona

fisica che non può essere identificata né dal responsa-

bile del trattamento né da altri soggetti, tenuto conto

dell’insieme dei mezzi che possono essere ragionevol-

mente utilizzati dal responsabile del trattamento o da

altri per identificarla. Oltretutto i dati resi anonimi non

rientrano più nell’ambito di applicazione della legisla-

zione in materia di protezione dei dati, al contrario dei

dati pseudonimizzati.

Occorre evidenziare, però, per non incorrere in errore,

che il citato regolamento non impone l’uso della pseudo-

nimizzazione o della crittografia, ma obbliga i titolari o i

responsabili del trattamento a valutare, caso per caso,

quelli che possono essere i rischi inerenti a questo o a

quello specifico trattamento.

Pertanto, è necessario effettuare prima un’analisi di ri-

schio; ma in alcuni casi sarà necessaria una vera e propria

‘valutazione d’impatto sulla protezione dei dati’ e sola-

mente in un secondo momento, se risulterà necessario, si

adotteranno le misure di cifratura o pseudonimizzazione.

Meccanismi di certificazione e codici di condotta

Al fine di dimostrare la conformità dei trattamenti ef-

fettuati dai titolari e dai responsabili del trattamento, il

regolamento europeo prevede e incoraggia (si veda a

tal proposito l’art. 42 GDPR) l’istituzione di meccanismi

per la certificazione della protezione dei dati persona-

li. La norma prevede anche la possibilità di utilizzare

l’adesione a specifici codici di condotta o a schemi di

certificazione per attestare l’adeguatezza delle misure

di sicurezza adottate.

I codici nascono come strumenti di autodisciplina con-

cepiti dalle imprese/enti o loro associazioni, mentre

le certificazioni fanno riferimento a norme e standard

dettati da appositi enti di normazione.

1 26 27 28 29 30 31 32 33 34 35 36 37 53  FlippingBook