Privacy e sicurezza dei dati

CONSULENZA PER LA COMPLIANCE AL GDPR

Nell’ambito delle attività derivanti dall’adeguamento delle organizazioni pubbliche e private al nuovo Regolamento Europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – cd. "GDPR"), che sarà direttamente applicabile in tutti gli Stati Membri dell'Unione Europea a partire dal 25 maggio 2018, Prynet ha maturato delle specifiche competenze consulenziali, certificate secondo la governance UNI ISO/IEC 17024:2012, ed è in grado di rendere un servizio realmente completo ai propri clienti costituito dai vari pacchetti di servizi, che opportunamente modulati, possono far fronte a qualsiasi tipo di esigenza:

    1. Pacchetto Privacy di base Si tratta di un servizio di consulenza svolto da nostri esperti in materia, Consulenti Privacy certificati dall'Organismo di certificazione TÜV Italia, secondo lo schema UNI ISO 17024:2012, adatto ad organizzazioni che operano un trattamento di dati personali che non presentano un rischio elevato per i diritti e le libertà delle persone fisiche. L'attività viene svolta in collaborazione con le principali infrastrutture aziendali ed è finalizzata all’analisi, alla definizione ed alla proposta di assunzione di eventuali misure correttive, laddove necessarie, sia di tipo organizzativo che di carattere tecnico, inerenti ai trattamenti dei dati personali operati ed alle misure di sicurezza adottate. L’attività è finalizzata a fornire un supporto affinché possa essere raggiunta una compliance tra quanto disposto dal nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR), ed i vincoli regolamentari prescritti nel tempo dall’Autorità di controllo e garanzia (es: Linee Guida, Provvedimenti per particolari categoria di titolari e trattamenti, ecc.) in corso di armonizzazione da parte del Governo sulla base della delega ricevuta. L’intervento proposto sarà basato sull’adozione di un sistema di gestione del trattamento dei dati personali, che andrà ad interessare tutti gli aspetti dei trattamenti operati oltre che una serie di procedure e documenti (informative, incarichi, contratti, policies, ecc.) complementari al sistema di gestione. Al pacchetto Privacy Base possono essere inoltre aggiunti gli ulteriori moduli per rispondere alle specifiche esigenze aziendali:
  •  Registri delle attività di trattamento
  • Valutazione d'impatto privacy (DPIA)
  • Violazione dei sistemi (Data Breach)
  •  Responsabile del trattamento (DPO o RDP) 
 

2. Pacchetto registri delle attività di trattamento

L’articolo 30 del GDPR riporta l’onere della tenuta dei registri delle attività di trattamento effettuate, elencando in dettaglio le informazioni che questo deve obbligatoriamente contenere.

Si tratta di un macro adempimento formale, la cui tenuta è indice (e non prova) di una gestione del dato conforme alla legge.

Titolari e Responsabili dovranno pertanto conformarsi entro il 24 maggio 2018, salvo si tratti di enti e altri organismi con meno di 250 dipendenti purché:
  • il titolare non effettui trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati:
  • il trattamento non sia occasionale o includa dati di cui all’art. 9.1 o all’articolo 10. (dati particolari e dati personali giudiziari).

A conferma dell’opportunità generale di dotarsi del registro dei trattamenti, si possono considerare le raccomandazioni indicate nelle Linee Guida al regolamento, pubblicate dal Garante per la Protezione dei dati personali, in cui viene così espressamente previsto: “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.

Prynet supporta le aziende nella valutazione riguardo l'adozione dei registri delle attività di trattamento (sia da parte del titolare che del responsabile), e nel condurle ad una sua autonoma gestione, da effettuare come un processo continuativo e non come esercizio una tantum.

3. Pacchetto valutazione d'impatto privacy (DPIA)

 

La DPIA è quel processo (previsto dall'art. 35 del Regolamento Europeo 679/2016 - GDPR) che il titolare del trattamento deve compiere qualora i trattamenti, prevedano, in particolare, l'uso di nuove tecnologie o possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

È dunque una misura volta a descrivere le attività di trattamento, valutandone necessità e proporzionalità e determinandone l'origine, la natura, la particolarità e la gravità del rischio connesso. La DPIA è inoltre un procedimento atto a costruire e dimostrare la conformità al 

GDPR, uno strumento di fondamentale importanza messo a disposizione del titolare del trattamento per rispettare il principio di accountability, che pervade tutto il GDPR.

 In un'ottica di responsabilizzazione dei titolari del trattamento, la DPIA potrebbe essere infatti vista come una "auto-verifica preliminare" che ciascun titolare svolge autonomamente per avere contezza di quali sono i rischi che il trattamento dei dati comporta.

 Solo quando, a DPIA conclusa, sia presente un alto rischio residuo per le attività di trattamento dati, il titolare può chiedere all'autorità Garante di pronunciarsi in merito al trattamento in questione, richiedendo una consultazione preventiva.

Il nostro supporto per questo specifico adempimento consiste nel supportare le aziende nella valutazione dell'obbligatorietà della DPIA, nell'eventuale sua redazione e nel condurle ad una sua autonoma gestione, da effettuare come un processo continuativo e non un esercizio una tantum.

4. Pacchetto violazione dei sistemi - Data Breach

    Il Data Breach (art. 33 GDPR) è, in breve sintesi, una violazione dei dati personali trattati, la quale potrebbe tradursi in una perdita di:
  • Confidenzialità, ad esempio nel caso di accesso o diffusione non autorizzati dei dati personali;
  • Disponibilità, come nel caso di perdita o distruzione dei dati personali;
  • Integrità, nel caso di alterazione dei dati personali, avvenuta in modo accidentale o senza autorizzazione.

Premesso ciò, il Titolare e il Responsabile del trattamento, nel caso in cui si dovesse presentare una violazione, dovrebbero eseguire, per rispondere correttamente al dovere di comunicazione nei confronti degli interessati e di notificazione nei confronti dell’Autorità competente, una serie di azioni di cui all’elenco che segue:

  • informare tutte le persone responsabili per l’individuazione di incidenti relativi la sicurezza, delle misure e procedure rilevanti in materia, anche per quanto concerne la valutazione del rischio;
  • valutare i rischi per gli interessati, individuando se vi è una probabilità di rischio nulla o alta, e informare le aree aziendali interessate;
  • individuare le modalità di notifica del Data Breach all’Autorità, ma anche di comunicazione verso i soggetti interessati, quando necessaria;
  • gestire il rischio e recuperare le conseguenze sorte dalla violazione, parallelamente.

Il tutto deve essere svolto entro il termine perentorio di 72 ore ed evidenziato all’interno del registro delle violazioni da tenere a disposizione dell’Autorità di controllo e garanzia in caso di eventuale richiesta. 

Il nostro supporto per questo specifico adempimento consiste nel redigere, con il management interessato, un piano operativo per la gestione del Data Breach, con definizione del Responsive Team, delle mansioni operative, nella redazione iniziale dei registri delle violazioni, nell'eventuale supporto delle notifiche, delle comunicazioni e condurre il cliente alla loro ordinaria gestione.  

5. Pacchetto Responsabile del Trattamento (DPO)

  Il Data Protection Officer (art. 37 GDPR) è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi, i cui compiti sono di seguito elencati:
  • informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;
  • controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
  • fornire pareri circa la valutazione d’impatto sulla protezione dei dati (DPIA);
  • collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.

La nomina del DPO è obbligatoria nei casi in cui:

  • il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali; oppure
  • le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  • le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

 Tale figura può essere rivestita, oltre che da un libero professionista, anche da un dipendente del titolare del trattamento (o del responsabile del trattamento). Ovviamente c'è da considerare che il dipendente potrebbe non trovarsi nelle condizioni di indipendenza e di libertà da obblighi di subordinazione previsti dalla legge, (art. 38 del Regolamento), oltre che non trovarsi in alcuna situazione di conflitto di interessi prevista dalla norma.