Sono numerosi gli aspetti e i dettagli che le aziende devono osservare per ottemperare correttamente alla Legge generale sulla protezione dei dati.
Di Edson Gaseta*
Dal 1° agosto entreranno in vigore le sanzioni per le violazioni delle norme previste dal Legge generale sulla protezione dei dati (LGPD). Le sanzioni per le aziende che non rispettano uno qualsiasi degli elementi o delle condizioni stabiliti dalla nuova legge vanno da un semplice avvertimento, con possibilità di misure correttive; a una multa fino al 2% del fatturato con un limite massimo di 50 milioni di R$; o alla sospensione parziale o totale dell'attività di trattamento dei dati.
È importante sottolineare che qualsiasi violazione della sicurezza dei dati personali, intenzionale o accidentale, che comporti la fuga di tali dati, sarà punibile, indipendentemente dalla quantità di dati divulgati pubblicamente. Pertanto, è fondamentale che le aziende dispongano di una struttura di sicurezza informatica, con misure e controlli adeguati, in modo che la loro attività non subisca gravi ripercussioni. Una delle azioni che le aziende possono intraprendere per ridurre al minimo l'impatto in caso di fuga di dati è adottare le precauzioni necessarie. crittografia dei tuoi dati, poiché ciò li rende molto più difficili e complessi da decifrare.
Un aspetto da tenere presente è che la legge stabilisce che sia il titolare del trattamento che il gestore possono essere ritenuti responsabili per i danni derivanti da una violazione della sicurezza dei dati, per mancata adozione di misure di protezione. Il titolare del trattamento è la società o la persona che coordina e definisce le modalità di trattamento dei dati personali, dalla raccolta alla cancellazione. Il gestore è la persona o la società che elabora e gestisce i dati personali su ordine del titolare del trattamento.
In effetti, il ruolo di ciascuno dei responsabili del trattamento dei dati personali ha generato non pochi dubbi. Tanto che a fine maggio l'Autorità Garante per la Protezione dei Dati Personali (ANPD), l'organismo responsabile dell'ispezione e la regolamentazione di GDPR, pubblicato o “Linee guida per le definizioni di agenti del trattamento dei dati personali e titolari del trattamento dei dati”Il documento intende stabilire delle linee guida per gli incaricati del trattamento e spiegare chi può esercitare il ruolo di titolare del trattamento, operatore e responsabile (DPO) della protezione dei dati.
Un altro documento importante è il rapporto d'impatto sulla protezione dei dati, che le aziende dovranno redigere e che dovrà includere tutte le operazioni e i dati personali trattati. Le aziende che raccolgono dati in qualsiasi modo, sia tramite un'applicazione che tramite Internet, dovranno redigere questo rapporto d'impatto, che dovrà includere tutte le possibili vulnerabilità nelle operazioni di trattamento. Pertanto, se un'applicazione espone dati personali potenzialmente soggetti a fuga di notizie, ciò dovrà essere incluso in questo documento, indicando i rischi di fuga di dati.
Innanzitutto, è necessario comprendere quali siano i rischi, documentarli e definire le azioni da intraprendere per minimizzarli il più possibile. Questo è un compito di gestione del rischio, un requisito imposto dalla legge. Non è un compito facile, ma è necessario.
*Edson Gaseta è uno specialista di sicurezza informatica presso Kryptus.
WhatsApp è sicuro per inviare e ricevere denaro? C'è il rischio di una truffa? Con il lancio Per saperne di più
Segui Kryptus su Google News Di: Waldyr Benits, Ph.D | Responsabile della Crittologia Per saperne di più