La nostra organizzazione offre i servizi utili per permettere all’azienda la realizzazione degli adempimenti minimi richiesti per un sistema tutela della privacy e sicurezza dei dati personali.
Lo scopo della consulenza è la progettazione e implementazione di un sistema di gestione, costituito dai seguenti componenti:
- Registro dei Trattamenti
- Informative clienti e fornitori
- Lettere di Designazione/Nomine
- Procedure Interne
- Registro Data Breach
- Analisi dei Rischi ai fini della sicurezza dei dati
- Privacy by Design e DPIA
-
Registro dei Trattamenti
Il titolare del trattamento è tenuto a redigere un registro dei trattamenti deve contenga almeno:
- il nome e i dati di contatto del titolare del trattamento e, ove dei dati (DPO) ove previsto;
- le finalità del trattamento, cioè i fini, stabiliti dal Titolare del Trattamento, per cui si trattano i dati;
- la descrizione delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative
-
Informative
Ai sensi del GDPR, il Titolare adotta misure appropriate per fornire all’interessato (cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.
Mediante l’impiego dell’informativa il Titolare fornisce agli Interessati tutte le informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e facilmente accessibile
-
Lettere di Designazione
Ai sensi dell’art. 29 del GDPR chiunque tratta dati personali per conto del Titolare del Trattamento deve ricevere specifiche istruzioni. Per la soddisfazione di tale requisito il titolare del trattamento ha il compito di predisporre precise lettere di nomina.
Il Titolare può ricorrere a nominare:
- Responsabili del Trattamento, in genere fornitori a cui il Titolare affida i dati personali;
- Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema, ex. Incaricati), costituiti in genere dai dipendenti del Titolare a cui vengono attribuiti i privilegi di accesso per accedere ai dati.
-
Procedure
Il Titolare del Trattamento regola la propria attività mediante l’implementazione di specifiche procedure ai fini di dimostrare la conformità al GDPR: Privacy by Design / Default; Gestione delle violazioni dei Dati personali (Data Breach), Gestione esercizio Diritti interessati, Processo per la nomina di Soggetti Autorizzati (Ex. Incaricati), Processo per la conservazione e cancellazione dei dati personali.
-
Registro Data Breach
Il Registro Data Breach è preposto per la registrazione delle violazioni dei dati personali, tale registrazione ha lo scopo di annotare tutte le violazioni avvenute comprese quelle che non vanno notificate al Garante Privacy cioè quelle che non hanno un rischio elevato per le libertà e i diritti degli interessati.
-
Analisi dei Rischi
L’articolo 32 del GDPR, afferma che: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
L’approccio che ogni Titolare del trattamento deve avere, per il trattamento dei dati personali, deve essere basato sul rischio: più alto è il rischio e più severe devono essere le misure che il Titolare o il Responsabile del trattamento devono considerare per mitigare il rischio.
A tal fine sia il Titolare che il Responsabile devono configurare, in relazione ai trattamenti eseguiti un modello per la determinazione dei rischi per le libertà e i diritti degli interessati considerando l’impatto per gli interessati, la minaccia per il trattamento dei dati
- L’impatto per gli interessati a seguito di una violazione che riguarda la riservatezza, integrità, disponibilità dei dati nonché aspetti critici del trattamento eseguito;
- Le minacce che possono insistere sui trattamenti;
- e misure di mitigazione delle minacce che possono insistere sui trattamenti.
-
Privacy by Design / Default e DPIA (Data Protection Impact Assessment)
Il GDPR disciplina il concetto di Privacy by Design all’art. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita“.
Ai sensi della normativa applicabile, il Titolare del Trattamento ha il dovere d’implementare misure tecniche e organizzative adeguate al fine di dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei dati, garantendo la conformità ai requisiti del regolamento ed un efficace esercizio dei diritti degli Interessati.
All’interno del processo di Privacy by Design, se il trattamento dovesse presentare rischi elevati per gli interessati, il Titolare del Trattamento è tenuto alla esecuzione di un DPIA.
Il GDPR impone ai Titolari del Trattamento la realizzazione della DPIA (Data Protection Impact Assessment), cioè una valutazione d’impatto ai fini privacy, per tutti quei trattamenti che possano “…presentare un rischio elevato per i diritti e le libertà delle persone fisiche” in considerazione della natura, dell’oggetto, del contesto e delle finalità.
La DPIA è una valutazione che deve essere eseguita con specifiche metodologie (vedi provvedimento WP 248); l’articolo 35 del GDPR definisce la DPIA come uno strumento che, in ossequio al principio di accountability, consente ai titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.
La conformità al GDPR è un percorso che non si conclude con la semplice redazione di informative da sottoporre alla firme degli interessati. Una buona gestione dei dati consente al titolare del trattamento di gestire al meglio il rischio privacy, tenendo in adeguata considerazione i diritti e le libertà dell’interessato.