CONSULENZA GDPR                                                                         

 

CONSULENZA IMPLEMENTAZIONE E AGGIORNAMENTO DELL’ADEGUAMENTO ALLE MISURE DI SICUREZZA PREVISTE DAL REGOLAMENTO EUROPEO IN MATERIA DI PRIVACY, N. 679/2016 CON UN APPROCCIO AL RISCHIO CHE COMPRENDE IL COMPLESSO AZIENDALE NEL SUO COMPLESSO COMPRENDENDO IL SISTEMA INFORMATICO

1.1. Implementazione modello Privacy

L’approccio metodologico per la predisposizione ed implementazione del modello privacy è articolato nelle seguenti fasi:

         Fase 1. Censimento dei Trattamenti

Fase 2. Verifica delle misure di sicurezza

Fase 3. Organigramma Privacy

Fase 4. Redazione Modulistica Privacy e clausole contrattuali

Fase 5. Redazione Manuale sulla Sicurezza dei dati, o equivalente in base alle modifiche normative.

Fase 6. Formazione

 

Di seguito si riportano le attività previste per ciascuna delle Fasi sopra indicate.

Fase 1. Censimento dei Trattamenti

Obiettivi: Mappare i sistemi informativi utilizzati, la tipologia dei dati trattati, i trattamenti effettuati.

Attività: In particolare verranno svolte le seguenti attività:

1.1. Censimento dei sistemi informativi –attraverso interviste con il personale aziendale, viene rilevata la mappatura dei sistemi informatici utilizzati. 

1.2. Censimento banche dati e Trattamenti –I trattamenti effettuati dal cliente  vengono rilevati con un’attività di mappatura dettagliata

-        Le modalità di trattamento;

-        L’ambito di comunicazione;

-        La natura dei dati (particolari , dati diversi da quelli particolari );

-        Luoghi fisici dove risiedono i dati;

-        Le categorie di interessati/banche dati;

-   Le piattaforme o dispositivi di accesso utilizzati per effettuare il trattamento o che ospitano le banche dati; (host, lan, stand alone, portatili e palmari, supporti removibili, supporti cartacei, ecc.).

Supporti utilizzati: Le interviste saranno condotte utilizzando questionari.  

Fase 2. Verifica delle misure di sicurezza

Obiettivi: Rilevare e valutare i rischi ai quali sono esposte le banche dati fisiche e logiche, rilevare le procedure e misure di sicurezza attualmente adottate, individuare il livello di scostamento dalle misure di sicurezza previste dal regolamento Europeo (GDPR).

Attività: Nella fase in esame vengono svolte le seguenti attività:

2.1. Mappatura dei rischi: L’analisi dei rischi sarà focalizzata sulle circostanze possibili o probabili (c.d. minacce) che possano causare il verificarsi di rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, di mancanza di dati disponibili Le minacce saranno classificate e descritte nei seguenti principali raggruppamenti:

-        minacce all’integrità dei dati;

-        minacce alla riservatezza dei dati;

-        minacce alla disponibilità dei dati;

-        minacce inerenti dati/informazioni contenuti su supporti diversi da quelli informatici;

-        minacce alla conformità/osservanza della legislazione vigente/obblighi di legge.

Per ciascuna minaccia individuata viene  valutata, sulla base delle informazioni ricevute dal personale, la gravità stimata delle conseguenze che ne potrebbero derivare.

2.2. Mappatura delle procedure e misure di sicurezza attualmente adottate: La rilevazione viene effettuata sia per quanto attiene le banche dati informatiche che per quanto attiene alle banche dati cartacee, in particolare:

Banche dati informatiche:

-   autenticazione informatica;

-   adozione di procedure di gestione delle credenziali di autenticazione;

-   utilizzazione di un sistema di autorizzazione;

-   aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati a addetti alla gestione o alla manutenzione degli strumenti elettronici;

-   protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e determinati programmi informatici;

-   adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

-   tenuta di un aggiornato documento programmatico sulla sicurezza;

 

Banche dati cartacee:

-   aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

-   accesso ai soli dati necessari;

-   previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

-   previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Fase 3. Organigramma Privacy

Obiettivi: Definire un Organigramma Privacy coerente con la struttura aziendale del cliente strumentale al rispetto del disposto normativo. 

Attività: Nella fase in esame vi supporteremo nella definizione della struttura e composizione delle figure costituenti l’organigramma privacy. Il Regolamento individua diverse figure come:

Titolare del trattamento dei dati,

Responsabili,

Incaricati/autorizzati,

Custode delle Copie delle Credenziali,

Amministratore di Sistema;

Responsabile della sicurezza logica;

Responsabile della videosorveglianza;

Responsabile della manutenzione della Rete.

 

Fase 4. Modulistica Privacy e Clausole Contrattuali

Obiettivi: Definire i contenuti, forma e modalità di gestione delle informative e dei consensi. Definire gli schemi degli atti di nomina. Definire le “Disposizioni Interne” alle quali il personale dovrà attenersi al fine di rispettare le misure adeguate di sicurezza. Predisporre le clausole contrattuali privacy.

Attività: Nella fase in esame saranno svolte le seguenti attività:

4.1.Informative e Consensi: Formalizzazione dei modelli di informative e consensi per tutte le categorie di interessati che verranno rilevate nel corso della Fase 2. (es. clienti, fornitori, dipendenti, utenti, ecc.);

4.2.Atti di nomina: Nella fase in esame verranno formalizzati gli atti di nomina per ciascuna delle figure previste nell’Organigramma Privacy.

4.3.Disposizioni interne: Predisposizione di un documento sintetico che ha l’obiettivo di comunicare al personale aziendale alcune raccomandazioni sulle misure adeguate.

4.4.Clausole contrattuali: Verifica, integrazione, redazione delle clausole contrattuali privacy a tutela del cliente in caso di acquisizione di dati da parte di terzi o in caso di trasferimento di dati all’estero.

Out-put previsti:     Informative e consensi

Atti di nomina

Disposizioni Interne

Clausole contrattuali

 

Fase 5. Manuale sulla Sicurezza dei dati

Obiettivi: formalizzare il Manuale Privacy e manuale IT

Attività: In questa fase si procederà alla redazione del documento.

Il documento sarà strutturato nelle seguenti sezioni:

-   Introduzione – Metodologia

-   Distribuzione dei compiti e delle responsabilità

-   Elenco dei trattamenti

-   Manuale IT

Situazione  attuale delle misure tecniche ed organizzative

schema di rete

configurazione attuale di rete

Apparecchiature presenti nelle strutture

 situazione  futura delle misure tecniche ed organizzative

 schema di rete.

Analisi dei rischi

 

Obiettivi: Formare il personale che tratta dati.

Le principali novità introdotte dal Regolamento UE 2016/679 (del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) 

    Il Regolamento deve essere adottato da ciascun Ente Pubblico e      ogni Pubblica Amministrazione (centrali e locali), e, nel              settore privato, per tutti gli ambiti di trattamento su larga 

    scala dei      dati personali.

Individuando sommariamente la novità più evidente introdotta dal Regolamento EU,  ogni Ente deve Autoresponsabilizzarsi sulla più idonea modalità di gestione dei dati personali, mettendo in atto strategie organizzative e tecnologiche che consentano la miglior conservazione, trattazione, manipolazione del dato personale, secondo il principio che ciascun Ente deve essere in grado di individuare al proprio interno la migliore “strategia privacy”(Accountability).

Nel precedente Codice Privacy, invece, era il Garante che proponeva la modalità idonea di gestione del dato, con una analisi preliminare e la predisposizione di misure minime che ogni Realtà doveva adottare.

Come è facile immaginare, tale ribaltamento di paradigma aumenta  l’impatto sulle aziende, sia pubbliche che private, sia sui professionisti che, a prescindere da dove si trovino, vengano in contatto con i dati personali dei cittadini europei: sono necessari sforzi e competenze importanti per garantire la compliance dell’ente al nuovo regolamento EU.

Per fare qualche esempio di onere aggiunto, le nuove norme interessano tutti i professionisti e le imprese che trattano i dati personali delle (sole) persone fisiche in maniera interamente o parzialmente automatizzata o in maniera non automatizzata se i dati sono contenuti in un archivio o sono destinati a figurarvi. Qualora non si adegueranno al nuovo quadro normativo e che sono esposte a sanzioni fino a 20 milioni di Euro o fino al 4% del fatturato globale annuo.

Il Regolamento Europeo, inoltre, stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.

Proprio per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Ecco una differente definizione Accountability richiamata dal Regolamento, ovvero osservare i principi applicabili al trattamento dei dati personali adempiendo alle relative obbligazioni ed essere in grado di comprovarlo.

La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento devono garantire che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito.

Cercando di individuare per punti il nuovo Regolamento avremo:

Responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per i diritti e le libertà degli interessati (si parla in proposito di «accountability»);

Garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, 

 Introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi.

 Garantire che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo ed inequivocabile anche nel caso in cui venga espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di consenso tacito;

 Assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali;

 Adottare ogni misura necessaria per il cosiddetto “data breach “, principio in base al quale il quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati.

 Al fine di garantire la protezione dei dati personali il Regolamento ha introdotto due importanti principi, ovverosia il principio di privacy by default e quello di privacy by design. Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale.

 In altri termini, ogni azienda dovrà necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.

Tra gli elementi innovativi contenuti nel Regolamento c’è anche la figura del “Responsabile della Protezione dei Dati”, meglio conosciuto come “DPO” (acronimo di “Data Protection Officer”). Soggetto nuovo da non confondere con il “titolare del trattamento” o con il “responsabile del trattamento”, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta.

Il DPO (o responsabile della protezione dei dati), deve essere necessariamente nominato dal titolare e dal responsabile del trattamento nei seguenti casi:

quando il trattamento è effettuato da un'autorità pubblica o un organismo pubblico diverso dalle autorità giurisdizionali nell'esercizio delle loro funzioni;

quando le attività principali poste in essere dal titolare o dal responsabile del trattamento richiedono (per la loro natura, per il loro ambito di applicazione e/o per le loro finalità) il monitoraggio regolare e sistematico degli interessati su larga scala.

Infine, si consiglia di considerare tale adeguamento della quale opportunità di riflessione complessiva della modalità di gestione del dato nell’intera struttura organizzativa , e non come mero obbligo normativo: in questo modo i benefici di un approccio olistico al dato come soggetto al centro dell’impresa (industria 4.0) potranno essere tratti massimamente.