GDPR per la compliance Regolamento Europeo Privacy
Il Regolamento Europeo (UE) 2016/679, concernente la tutela
delle persone fisiche con riguardo al trattamento dei dati personali
e la libera circolazione di dati, è entrato in vigore il 24-05-2016
e diventerà direttamente applicabile in tutti gli stati membri
a partire dal 25 maggio 2018.
Il Nuovo Regolamento, sostituirà il "Codice Privacy"
in vigore dal 1º Gennaio 2004 e ri-definisce le figure di Titolare
e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto
previsto dall'attuale Direttiva 95/46 e dal Codice Privacy. Il Titolare
ha un ruolo più proattivo e obblighi più pregnanti, finalizzati
non soltanto al formale rispetto delle regole, ma anche all'adozione
di tutti gli accorgimenti tecnici e organizzativi necessari a garantire
la compliance effettiva dei trattamenti, anche sotto il profilo della
sicurezza.
L'assenza o inefficacia delle procedure costituisce per il Titolare
fonte di responsabilità (principio di rendicontazione o di "accountability",
artt. 24 e 32).
La violazione delle disposizioni del regolamento è soggetta a
sanzioni, inasprite rispetto alle precedenti norme privacy, amministrative
pecuniarie fino a 20 milioni di Euro, o per le imprese, fino al 4% del
fatturato totale annuo dell'esercizio precedente.
Metodo
Di seguito illustriamo il metodo utilizzato per configurare
il Sistema Privacy della vostra azienda, compliance al GDPR.
Fase 1 |
Fase 2 |
Fase 3 |
Risk Analysis, Risk Assessment, Action List |
Implementazione Sistema online su cloud Ius Privacy |
Produzione Deliverables |
Somministrazione questionario per esaminare lo stato della conformità
alle norme privacy distinte.
Per ogni GAP, distinto per aree, determinazione delle azioni da
adottare per la conformità comprese evoluzioni del sistema
informatico e di sicurezza. |
Implementazione del Sistema Privacy attraverso la configurazione
delle componenti quali registro trattamenti, identificazione asset,
membri del sistema privacy, membri del sistema, registro data breach,
Privacy Impact Assessment (DPIA) dei trattamenti che presentano
un rischio elevato per le libertà e i diritti degli interessati. |
Produzione di tutti i documenti prescritti dal GDPR: Registro
dei trattamenti, lettere di nomina responsabili esterni (terze parti),
incaricati al trattamento, procedure esercizio diritti interessati,
procedura con controlli Privacy by Design/Default. |
Fase 1: Risk Analysis, Risk Assessment, Action List
L'attività di indagine, analisi e rilevazione degli
aspetti sulla conformità delle aziende alle norme vigenti, è
svolta attraverso l'ausilio dei moduli dei questionari predisposti alla
rilevazione delle seguenti informazioni:
1. Rilevazione dei dati dell'organizzazione, compreso il settore e il
nome del rappresentante legale;
2. Rilevazione/Indagine sullo stato di conformità dell'organizzazione
alle norme privacy e di altre informazioni utili ai fini Privacy;
3. Rilevazione dei trattamenti effettuati al momento della rilevazione;
4. Rilevazione degli Asset intesi come beni materiali, immateriali,
banche dati in possesso dell'organizzazione;
5. Rilevazione dei membri coinvolti nel trattamento compresi dipendenti,
collaboratori, fornitori che hanno, a qualsiasi titolo, accesso, diretto
o indiretto, alle informazioni oggetto del trattamento;
6. Rilevazione dei compiti svolti dai membri indicati al punto precedente;
7. Censimento dei rischi e censimento delle misure adottate per la riduzione
del rischio.
Fase 2: Implementazione Sistema
L'implementazione del sistema privacy viene condotto dal
nostro Staff qualificato.
Funzioni gestite dal sistema:
" Registro dei Trattamenti con esempi e modelli di riferimento.
" Membri privacy (tutti i soggetti che partecipano come incaricati
o responsabili al sistema privacy).
" Asset (Applicazioni, Database, Archivi che contengono dati personali).
" Enterprise Risk Assessment, sistema di Risk analysis per la rilevazione
degli impatti, minacce e calcolo residuo di rischio informatico o fisico.
" PIA (Privacy Impact Assessment).
" Procedure (Diritti Interessati, Privacy by Design/ Default, Data
Breach).
" Registro Data Breach.
" Audit Pianificati.
" Evidenze per le attività di Audit compiute.
Fase 3: Produzione Deliverables
" Descrizione del sistema privacy dell'organizzazione
" Informativa per il trattamento condotto dall'organizzazione rivolto
ai:
o clienti;
o dipendenti;
o terzi;
" Registro dei Trattamenti;
" Enterprise Risk Management per la valutazione dei rischi relativi
ad ogni Asset (database o applicazione);
" Identificazione dei trattamenti potenzialmente soggetti a PIA
(Privacy Impact assessment);
" Web Documents: Informativa, Cookie Law;
" Asset, compresi i privilegi di accesso dei componenti del sistema
privacy;
" Protocollo per il trattamento: lettere per la nomina dei soggetti
autorizzati, comprensiva del protocollo per il trattamento dei dati,
rivolta a:
o dipendenti;
o fornitori (terze parti);
o collaboratori dell'organizzazione;
" Procedure ed Istruzioni pianificate:
o Privacy by Design/Default;
o Diritti degli Interessati;
o Data Breach;
o Nomina ed Interruzione incaricati/responsabili;
o Assunzione nuovo dipendente;
o Licenziamento o fine rapporto;
o Misure minime ADS - gestione macchina utente;
o Gestione della sicurezza della Rete Locale;
o Dismissione fisica di una macchina;
o Dismissione logica di una macchina;
o Backup;
o Conservazione delle copie logiche e cartacee;
o Disaster Recovery e Business Continuity;
o Gestione delle credenziali di accesso: evidenze di consegna;
o Backup log dei sistemi interni e/o esterni all'organizzazione;
o Procedura gestione interruzioni pregresse (procedura di verifica periodica);
" Redazione Audit pianificati:
o Verifica dell'operato dell'Amministrazione di Sistema;
o Verifica dell'operato del Database Administrator;
o Verifica del mantenimento dei backup;
o Verifica sui backup e sulle simulazione di restore (disaster recovery);
o Verifica misure minime anti intrusione e anti deperimento;
o Verifica adeguamento misure minime su dispositivi WI-FI;
" Codice di condotta del personale:
o Internet;
o Posta elettronica
|