Misure tecniche e organizzative correlate
Home » GDPR » Principi » Limitazione dello scopo » Misure tecniche e organizzative correlate

Quanto segue fornisce esempi di misure tecniche e organizzative a sostegno della limitazione degli scopi:

  • Una precisa e chiara specificazione degli scopi iniziali e potenzialmente compatibili è un prerequisito per qualsiasi ragionamento sulla separazione degli scopi.
  • Comprendere la protezione dei dati come un processo che include revisioni regolari durante l’intero ciclo di vita dell’attività di trattamento è importante per evitare il trattamento dei dati per scopi incompatibili, ad esempio, a causa del function creep. Si noti che la revisione regolare è obbligatoria nel contesto della protezione dei dati mediante progettazione (art. 25(1) GDPR), delle valutazioni d’impatto sulla protezione dei dati (art. 35(11) GDPR) e della sicurezza (art. 32(1)(d) GDPR).
  • La verifica della compatibilità delle finalità secondo l’art. 6(4) può essere considerata una misura organizzativa a sostegno della limitazione delle finalità.
  • L’analisi di come il personale autorizzato può utilizzare i dati personali per altri scopi è un’altra misura organizzativa. Tale analisi mira a identificare possibili motivazioni, conflitti d’interesse (come il personale che tratta i dati di parenti e conoscenti), e misure per prevenire [1]o mitigare tali situazioni (ad esempio, la possibilità che un dipendente possa segnalare un conflitto d’interesse per un caso assegnato e passarlo a un altro dipendente senza conflitto d’interesse).
  • Un’altra misura è un’analisi delle motivazioni che gli attaccanti esterni possono avere per ottenere i dati per altri scopi. Questa è una parte importante della valutazione del rischio e un prerequisito per implementare adeguate salvaguardie a sostegno della limitazione dello scopo.
  • Qualsiasi misura organizzativa o tecnica per implementare la separazione tra attività di trattamento distinte perseguite dallo stesso titolare del trattamento sono a sostegno diretto della limitazione delle finalità.
  • Qualsiasi misura (come la crittografia) a sostegno della riservatezza impedisce che parti non autorizzate possano utilizzare i dati per scopi illegittimi.
  • Qualsiasi misura per garantire che il personale autorizzato agisca solo su istruzione e secondo le istruzioni del titolare del trattamento (cfr. Art. 29 e 32(4) GDPR) garantisce che il trattamento non vada oltre quanto necessario per raggiungere gli scopi specificati.
  • Una misura secondaria che mitiga i danni dopo una violazione è la pseudonimizzazione. La possibilità drasticamente ridotta di identificare i soggetti dei dati e il collegamento ad altri set di dati può in molti casi impedire efficacemente l’uso dei dati trapelati per altri scopi.

 

 

  1. Un altro esempio per prevenire i conflitti d’interesse è quando una grande azienda elabora in uffici lontani dagli interessati per ridurre la probabilità che i dipendenti elaborino dati di conoscenti.

 

Skip to content