Offerta Privacy e Piano di Intervento GDPR

GDPR Sistema di Gestione della Privacy

IL PIANO DI INTERVENTO SARA’ PERSONALIZZATO
IN CONSIDERAZIONE DELLE DIMENSIONI DELL’ORGANIZZAZIONE
E DELLA TIPOLOGIA DI DATI TRATTATI

L’obiettivo principale del piano di intervento è quello di costruire e mantenere aggiornato un vero e proprio “Sistema di Gestione della Privacy”. Il raggiungimento di tale obiettivo richiede un approccio di tipo multidisciplinare, ed è per questo che l’attività sarà svolta da un team di consulenti legali, consulenti di organizzazione ed esperti di Information Technology & Security.
Nel documento per ognuno dei servizi vengono descritti gli obiettivi, i contenuti e le metodologie.

Si parte dalla illustrazione del servizio di Privacy Assessment, poiché il processo di adeguamento alla normativa Privacy, volto a raggiungere la cosiddetta Privacy Compliance, non può prescindere da una verifica iniziale che ha come obiettivo l’individuazione delle non conformità e la distanza dalla compliance normativa, permettendo quindi di identificare e di conseguenza pianificare correttamente le azioni da intraprendere. Successivamente vengono illustrati i servizi di consulenza.

Una volta completato l’adeguamento occorre che la compliance normativa sia garantita nel tempo. Il servizio di consulenza e/o l’individuazione del DPO garantiranno il mantenimento e aggiornamento continuo di documenti, procedure e misure.

schema legge su privacy1- PRIVACY ASSESSMENT

L’avvio del percorso di adeguamento verso la compliance alla normativa Privacy, dovrà misurare la distanza che la separa dal soddisfacimento dei requisiti di legge al fine di determinare e pianificare le azioni da mettere in atto per raggiungere la conformità.
Tale attività viene chiamata Privacy Assessment.
Per effettuare un Privacy Assessment occorre svolgere un’analisi approfondita delle misure adottate e delle prescrizioni che sono state soddisfatte.
Il Privacy Assessment si effettua confrontando e valutando la distanza tra la documentazione, le procedure e le misure di sicurezza messe in atto dall’azienda e i requisiti fissati dal Codice
della Privacy, e dal Regolamento Europeo 679/2016.
Tale attività prenderà in considerazione
– documentazione prevista dal Codice e dal regolamento Europeo
– misure di sicurezza fisiche;
– misure di sicurezza logiche (informatiche);
– misure di sicurezza organizzative (ad es. esistenza di politiche e/o di procedure);
– provvedimenti del Garante Privacy (quali ad esempio amministratori di sistema, videosorveglianza, localizzazione satellitare, marketing e profilazione della clientela ecc..).

2- CONSULENZA PER L’ADEGUAMENTO

Una volta effettuato il Privacy Assessment è possibile affrontare il percorso di adeguamento, che potrà comprendere tutte o alcune delle attività descritte nel seguito.

 – Documentazione Privacy

Per preparare in maniera corretta la documentazione prescritta dalla legge occorre innanzitutto identificare il cosiddetto Organigramma della Privacy, definendo i ruoli le responsabilità e i compiti di tutti coloro che sono chiamati a trattare i dati personali. Tali compiti sono resi espliciti attraverso la stesura di idonee lettere di nomina (incarichi, autorizzazioni ecc) che dovranno essere predisposte sia per il personale interno incaricato o responsabile del trattamento dei dati, sia per i soggetti esterni incaricati di trattare i dati per conto. È necessario poi redigere le
informative per i dipendenti, i clienti/utenti, i fornitori: per mezzo di questi documenti l’azienda rende note agli interessati le finalità e le modalità dei trattamenti di dati che li riguardano, le eventuali comunicazioni a soggetti terzi, le tutele che vengono loro garantite. Insieme alle informative occorrerà poi predisporre, in tutti i casi previsti dalla legge (ad esempio per la finalità di marketing), le formule e le modalità per la raccolta del consenso da parte degli interessati.

La corretta individuazione dei contenuti delle lettere di informativa e di incarico passa necessariamente attraverso un’Analisi dei trattamenti dei dati effettuati dall’azienda, che si traduce nella stesura del “Registro dei trattamenti” e nella conseguente analisi dei rischi che incombono sul trattamento dati.
La conservazione ed il trattamento del dato creano eventi di rischio (accesso indesiderato, perdita, utilizzo non permesso, trattamento non conforme, ecc.). Risulta un passo inevitabile attuare un PIA preventivo (Privacy Impact Assessment = censimento degli impatti privacy) in cui per ogni fenomeno si valuta rischiosità complessiva, azioni intraprese e rischiosità residua in modo da realizzare il primo documento che fotografa la situazione corrente. Dalla valutazione del PIA nasce un piano interno in cui viene stabilito in quale modo verrà mitigato il singolo rischio,
coloro che sono incaricati di operare in tal senso. Questo planning operativo deve essere costantemente monitorato e avrà impatto sul Privacy Impact Assessment successivo (uno/due all’anno potrebbero essere sufficienti) in cui si andranno ad evidenziare i miglioramenti ottenuti e le eventuali ulteriori rischiosità subentrate.

 – Procedure Privacy

La stesura della Documentazione Privacy non basta da sola a garantire una efficace e costante applicazione della normativa. Occorre anche formalizzare e mettere in atto le necessarie procedure per il rilascio, la conservazione, l’aggiornamento della documentazione.
È opportuno, ad esempio, predisporre Procedure Privacy da applicare alla gestione del personale, come pure alla gestione degli Amministratori di Sistema e a quella della raccolta e pubblicazione di dati sul Web.

L’attività di consulenza e assistenza prevede in sintesi le seguenti azioni:
OBIETTIVO 1°
2  Costruzione dell’Organigramma della Privacy
3  Costruzione del Registro dei Trattamenti
4  Predisposizione dei profili autorizzativi

OBIETTIVO 2°
5  Rilevazione/censimento, dell’asset informatico (hardware e software)
6  Analisi delle misure minime idonee di sicurezza asset informatico e stesura del relativo piano di adeguamento e miglioramento
7  Stesura del Disciplinare interno in materia di trattamento dati (manuale di gestione)

OBIETTIVO 3°
8  Costruzione della piattaforma FAD per la formazione continua dei soggetti incaricati- Formazione Continua
9  Formazione /istruzione frontale presso la sede dell’azienda rivolta a tutti i soggetti dell’Organigramma Privacy, con programmi personalizzati in relazione ai contenuti delle Lettere di Incarico. (durata complessiva della formazione 8 ore).
11  Analisi dei rischi e /o valutazione d’impatto PIA

OBIETTIVO 4°
Monitoraggio del modello di gestione attraverso due audit annuali. I principali obiettivi del Privacy Audit sono la valutazione delle conformità ai criteri (requisiti di legge e requisiti interni all’organizzazione) e l’indicazione delle eventuali azioni correttive e/o di miglioramento.
l Privacy Audit viene eseguito da un team di professionisti prendendo come riferimento le linee guida ISO 19011 2012 e prevede le seguenti fasi:

– riesame documentazione
– preparazione dell’Audit (checklist dei criteri da verificare e delle risorse coinvolte)
– svolgimento dell’Audit in campo
– predisposizione del rapporto dell’Audit
– chiusura dell’Audit e indicazioni sulle azioni correttive e/o di miglioramento

3 – PIANO DELLA FORMAZIONE ANNUALE
Il Codice e il Nuovo regolamento Europeo (Artt. 29 e 39) prevedono che tutti gli incaricati debbano essere istruiti sulle corrette modalità di trattamento dei dati; inoltre è importante far sì che tutti coloro che trattano i dati applichino nella pratica quotidiana le misure di sicurezza previste dalla legge e le regole comportamentali fissate dall’azienda.
Questi obiettivi sono raggiunti predisponendo e attuando un adeguato piano formativo, erogato in aula e “continuato” in modalità FAD, per il periodo di un anno.

 

4 – CONSULENZA GESTIONE PRIVACY
La consulenza prevede, per il periodo di un anno, un insieme qualificato di servizi per supportare la gestione di
tutte le problematiche legate all’applicazione efficace e continua della normativa:
1 aggiornamento della documentazione di legge (informative, consenso, lettere di nomina);
2 attività periodiche di verifica, internal auditing;
3. analisi periodiche dei rischi;
4. test periodici di vulnerabilità su reti e sistemi;
5. aggiornamento periodico del Disciplinare interno (Manuale di Gestione privacy)
6. formazione continua e aggiornamento dei responsabili e degli incaricati del trattamento dei dati;
7. consulenza e supporto sugli aggiornamenti di legge e sui provvedimenti e comunicazioni del Garante
8. assistenza in caso di visite ispettive da parte delle Autorità di Controllo

 

5 – PRIVACY OFFICER
Il Responsabile della Protezione dei Dati o Data Protection Officer, detto comunemente “Privacy Officer” è una
delle figure cardine previste dal Regolamento Europeo per la Protezione dei Dati Personali.

 

I compiti del DPO

– Informare e consigliare in merito agli obblighi derivanti dalla normativa e conservare la documentazione da questa prevista.
– Sorvegliare l’attuazione delle politiche di protezione dei dati da parte del Titolare del trattamento e degli incaricati, compresi l’attribuzione di ruoli e responsabilità, la formazione del personale e gli audit.
– Sorvegliare l’applicazione della normativa con particolare riguardo ai requisiti di protezione dei dati fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste di esercizio dei diritti
– Garantire la conservazione della documentazione.
– Controllare che le violazioni dei dati personali siano documentate, notificate e comunicate.
– Controllare che per ogni nuovo trattamento venga effettuata la valutazione d’impatto e venga richiesta l’autorizzazione o la consultazione preventiva nei casi previsti.
– Fungere da punto di contatto per l’autorità Garante e cooperare con questa in caso di richieste

 

RIEPILOGO SERVIZI OFFERTI

PRIVACY ASSESSMENT
1 un’analisi approfondita delle misure adottate

OBIETTIVO 1°
2 Costruzione dell’Organigramma della Privacy
3 Costruzione del Registro dei Trattamenti
4 Predisposizione dei profili autorizzativi

OBIETTIVO 2°
5 Rilevazione/censimento, dell’asset informatico (hardware e software)
6 Analisi delle misure minime idonee di sicurezza asset informatico e stesura del relativo piano di adeguamento e miglioramento
7 Analisi dei rischi e /o valutazione d’impatto PIA
8 Stesura del Disciplinare interno in materia di trattamento dati (manuale di gestione)

OBIETTIVO 3°
9 Costruzione della piattaforma FAD per la formazione continua dei soggetti incaricati- Formazione Continua
10 Formazione /istruzione frontale presso la sede dell’azienda rivolta a tutti i soggetti dell’Organigramma Privacy, con programmi personalizzati in relazione ai contenuti delle Lettere di Incarico. (durata complessiva della formazione 8 ore).
11 Costruzione e implementazione del modello organizzativo di gestione

OBIETTIVO 4°
Monitoraggio del modello di gestione attraverso due audit annuali. I principali obiettivi del Privacy Audit sono la valutazione delle conformità ai criteri (requisiti di legge e requisiti interni all’organizzazione) e l’indicazione delle eventuali azioni correttive e/o di miglioramento.

INCARICO DPO
Condizioni di fornitura
Gli aspetti operativi, i tempi di consegna e il piano degli interventi saranno concordati con il Titolare del Trattamento.

 

_________________________________________
Servizio offerto in collaborazione con
idnet managment