Regolamento (UE) 2016/679

GDPR per la compliance Regolamento Europeo Privacy

Il Regolamento Europeo (UE) 2016/679, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di dati, è entrato in vigore il 24-05-2016 e diventerà direttamente applicabile in tutti gli stati membri a partire dal 25 maggio 2018.
Il Nuovo Regolamento, sostituirà il "Codice Privacy" in vigore dal 1º Gennaio 2004 e ri-definisce le figure di Titolare e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dall'attuale Direttiva 95/46 e dal Codice Privacy. Il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche all'adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.
L'assenza o inefficacia delle procedure costituisce per il Titolare fonte di responsabilità (principio di rendicontazione o di "accountability", artt. 24 e 32).
La violazione delle disposizioni del regolamento è soggetta a sanzioni, inasprite rispetto alle precedenti norme privacy, amministrative pecuniarie fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente.

Metodo

Di seguito illustriamo il metodo utilizzato per configurare il Sistema Privacy della vostra azienda, compliance al GDPR.

Fase 1 Fase 2 Fase 3
Risk Analysis, Risk Assessment, Action List Implementazione Sistema online su cloud Ius Privacy Produzione Deliverables
Somministrazione questionario per esaminare lo stato della conformità alle norme privacy distinte.
Per ogni GAP, distinto per aree, determinazione delle azioni da adottare per la conformità comprese evoluzioni del sistema informatico e di sicurezza.
Implementazione del Sistema Privacy attraverso la configurazione delle componenti quali registro trattamenti, identificazione asset, membri del sistema privacy, membri del sistema, registro data breach, Privacy Impact Assessment (DPIA) dei trattamenti che presentano un rischio elevato per le libertà e i diritti degli interessati. Produzione di tutti i documenti prescritti dal GDPR: Registro dei trattamenti, lettere di nomina responsabili esterni (terze parti), incaricati al trattamento, procedure esercizio diritti interessati, procedura con controlli Privacy by Design/Default.


Fase 1: Risk Analysis, Risk Assessment, Action List

L'attività di indagine, analisi e rilevazione degli aspetti sulla conformità delle aziende alle norme vigenti, è svolta attraverso l'ausilio dei moduli dei questionari predisposti alla rilevazione delle seguenti informazioni:


1. Rilevazione dei dati dell'organizzazione, compreso il settore e il nome del rappresentante legale;
2. Rilevazione/Indagine sullo stato di conformità dell'organizzazione alle norme privacy e di altre informazioni utili ai fini Privacy;
3. Rilevazione dei trattamenti effettuati al momento della rilevazione;
4. Rilevazione degli Asset intesi come beni materiali, immateriali, banche dati in possesso dell'organizzazione;
5. Rilevazione dei membri coinvolti nel trattamento compresi dipendenti, collaboratori, fornitori che hanno, a qualsiasi titolo, accesso, diretto
o indiretto, alle informazioni oggetto del trattamento;
6. Rilevazione dei compiti svolti dai membri indicati al punto precedente;
7. Censimento dei rischi e censimento delle misure adottate per la riduzione del rischio.

Fase 2: Implementazione Sistema

L'implementazione del sistema privacy viene condotto dal nostro Staff qualificato.
Funzioni gestite dal sistema:
" Registro dei Trattamenti con esempi e modelli di riferimento.
" Membri privacy (tutti i soggetti che partecipano come incaricati o responsabili al sistema privacy).
" Asset (Applicazioni, Database, Archivi che contengono dati personali).
" Enterprise Risk Assessment, sistema di Risk analysis per la rilevazione degli impatti, minacce e calcolo residuo di rischio informatico o fisico.
" PIA (Privacy Impact Assessment).
" Procedure (Diritti Interessati, Privacy by Design/ Default, Data Breach).
" Registro Data Breach.
" Audit Pianificati.
" Evidenze per le attività di Audit compiute.

Fase 3: Produzione Deliverables

" Descrizione del sistema privacy dell'organizzazione
" Informativa per il trattamento condotto dall'organizzazione rivolto ai:
o clienti;
o dipendenti;
o terzi;
" Registro dei Trattamenti;
" Enterprise Risk Management per la valutazione dei rischi relativi ad ogni Asset (database o applicazione);
" Identificazione dei trattamenti potenzialmente soggetti a PIA (Privacy Impact assessment);
" Web Documents: Informativa, Cookie Law;
" Asset, compresi i privilegi di accesso dei componenti del sistema privacy;
" Protocollo per il trattamento: lettere per la nomina dei soggetti autorizzati, comprensiva del protocollo per il trattamento dei dati, rivolta a:
o dipendenti;
o fornitori (terze parti);
o collaboratori dell'organizzazione;
" Procedure ed Istruzioni pianificate:
o Privacy by Design/Default;
o Diritti degli Interessati;
o Data Breach;
o Nomina ed Interruzione incaricati/responsabili;
o Assunzione nuovo dipendente;
o Licenziamento o fine rapporto;
o Misure minime ADS - gestione macchina utente;
o Gestione della sicurezza della Rete Locale;
o Dismissione fisica di una macchina;
o Dismissione logica di una macchina;
o Backup;
o Conservazione delle copie logiche e cartacee;
o Disaster Recovery e Business Continuity;
o Gestione delle credenziali di accesso: evidenze di consegna;
o Backup log dei sistemi interni e/o esterni all'organizzazione;
o Procedura gestione interruzioni pregresse (procedura di verifica periodica);
" Redazione Audit pianificati:
o Verifica dell'operato dell'Amministrazione di Sistema;
o Verifica dell'operato del Database Administrator;
o Verifica del mantenimento dei backup;
o Verifica sui backup e sulle simulazione di restore (disaster recovery);
o Verifica misure minime anti intrusione e anti deperimento;
o Verifica adeguamento misure minime su dispositivi WI-FI;
" Codice di condotta del personale:
o Internet;
o Posta elettronica