FARE IL GDPR - IL PUNTO DI PARTENZA

Come operiamo per darvi la compliance al GDPR.

La realizzazione di un GDPR richiede un impegno variabile in dunzione della mole e tipo di dati da proteggere.  Oltre alle attività sui dati dobbiamo considerrare le attività da prescrivere in azienda, alle istruzioni da dare al personale al fine di mantenere la conformità al GDPR.

Per prima cosa individuiamo il tipo di adti personali ed il tipo di trattamento, di processo che subuiscono.

Nasce così il registro dei trattamenti a ciascuno dei quali dovremo attribuire regole, informative, consensi, responsabilità eccetera.

Dovremo fare in maniera che il titolare, il responsabile dei trattamenti, gli incaricati, l'amministratore di sistema, eventualmente il DPO/RPD facciano squadra e adottino i  provvedimenti utili a mettere in pratica le disposizioni del GDPR, in modo sostanziale e non superficiale.

L'approccio incoraggiato dal nuovo Regolamento europeo è fondato su una valutazione preliminare del rischio basata su un'opportuna considerazione di:

  • natura dei dati personali,
  • portata della raccolta,
  • contesto della raccolta;
  • finalità dei trattamenti,
  • probabilità e sulla gravità dei rischi per i diritti e libertà degli interessati;
  • individuazione delle misure necessarie a tutelare gli interessati;
  • individuazione delle misure necessarie a garantire l'esercizio dei diritti degli interessati
  • verifica della necessità di incarico a responsabile del trattamento,
  • misure necessarie alla protezione dei dati.

Il Regolamento consente una grande flessibilità sulle scelte tecnologiche, organizzative e metodologiche con una forte capacità di adattamento al mutamento delle esigenze e degli strumenti tecnologici. Quindi c'è la possibilità di scegliere gli strumenti più adeguati e di far valere il "principio di responsabilità" (accountability). L'omissione o la mancata compliance comporta un maggior rischio di provvedimenti sanzionatori da parte del Garante.

E' quindi necessario necessario che le aziende realizzino una revisione completa delle modalità di trattamento dei dati e delle informazioni personali che raccolgono e che gestiscono, verificando le basi normative (leicità) giustificando  tali trattamenti ed individuando le conseguenze che il trattamento dei dati effettuato può comportare per gli interessati.

Tra gli adempimenti dovremo realizzare abbamo:

  • la verifica delle tipologie di dati e delle categorie di appartenenza, delle modalità della raccolta, della finalità di ogni trattamento, della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati;
  • Individuazione dei trattamenti e istituzione del Registro dei Trattamenti;
  • la predisposizione o aggiornamento dell'informativa che deve essere fornita agli interessati. In particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all'oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati) e di come esercitarli;
  • la predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario o utile anche in considerazione del principio di accountability;
  • l'instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell'accesso non autorizzato ai dati personali oggetto di trattamento. 
Un capitolo a parte merita la VALUTAZIONE del RISCHIO per la quale vi consigliamo di leggere la pagina dedicata. Nei casi previsti dalla normativa, si deve procedere ad una valutazione d'impatto sulla protezione dei dati (DPIA) nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell'oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Tale tipo di attività richiede uno svolgimento specialistico ed una metodologia precisa. Nella maggioranza dei casi, invece, non si tratta di effettuare una DPIA, ma si deve eseguire una corretta VALUTAZIONE DEL RISCHIO che porti ad evidenziare il gap con la piena conformità

In realtà il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d'impatto, ma il regolamento prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all'effettuazione della valutazione dei rischi  anche quando sul titolare non incombe l'obbligo normativo in tale senso.

Misure di sicurezza da Adottare

In linea con il principio della responsabilizzazione (c.d. accountability) il titolare del trattamento dei dati personali deve adottare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Per fare ciò essi dovranno utilizzare la tecnologia disponibile, tenedo conto dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del livello di rischio per i diritti e le libertà delle persone fisiche.

Alcune delle misure che il titolare o il responsabile del trattamento dei dati dovranno adottare sono:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico;
  • una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La pseudonimizzazione è un particolare trattamento dei dati personali realizzato in modo tale che per collegarli ad uno specifico interessato siano necessarie altre informazioni aggiuntive, che sono conservate separatamente.

L'utilizzo della crittografia con una una passphrase permette di "occultare" i dati per poi renderli disponibili solo attraverso un processo di autenticazione.

Per "Resilienza" dei sistemi e dei servizi informatici si intende la capacità intrinseca di un sistema di adattarsi alle condizioni d'uso e di resistere all'usura assicurando sempre la adeguata protezione dei dati che vengono trattati con tali sistemi.

Per "disaster recovery" si intende la capacità di ripristinare la disponibilità e l'accesso dei dati personali oggetto di trattamento in caso di guasti o sinistri.

Per i titolari è importante predisporre una metologia di analisi dei rischi che potrebbero andare a colpire il sistema informatico, prevedere poi le adeguate misure da adottare per minimizzarli e predisporre un piano di emergenza che permetta di attuare un sistema alternativo di elaborazione dei dati da utilizzare in attesa della completa riattivazione.

Ovviamente le misure di sicurezza dovranno essere tali da "garantire un livello di sicurezza adeguato al rischio" creato dal trattamento, e valutato in modo responsabile dal titolare del trattamento. Non esistono quindi obblighi generalizzati di adozione di misure minime di sicurezza, e la valutazione spetta al titolare e al responsabile del trattamento, che dovranno compierla caso per caso in relazione ai rischi specificamente individuati.

Per quanto indicato non si sono target tecnologici da raggiungere. La necessità di eseguire eventuali upgrade tecnologici è dettata dalla valutazione dei rischi ed eventualmente dalla DPIA. Le misure già adottate riferite al codice Privacy precedente, stanno alla base della sicurezza informatica del GDPR e anche se le minacce sono certamente superiori oggi, esistono semplici risposte la cui adozione non mette in crisi il bilancio di nessuna attività.

In caso di trattamenti su vasta scale e/o ad alto rischio è invece necessario non sottovalutare, in sede di analisi, gli aggiornamenti di natura tecnolgica che rappresentano un cardine fondamentale della sicurezza.

Registro dei Trattamenti

I Titolari devono tenere un registro di tutte le attività di trattamento dei dati effettuate. L'obbligo si ha per le imprese con più di 250 dipendenti ma in realtà lo strumento è utile per una serie di obblighi e per definire una accountability a prova di ispezione.
Si identifica come parte integrante di quel generale sistema di corretta gestione dei dati personali che le aziende, organizzazioni o soggetti pubblici dovranno creare. Dovrà essere tenuto in forma scritta, su supporto tangibile oppure, e preferibilmente, in formato elettronico
Tanto il TITOLARE quanto il RESPONSABILE del trattamento o, se presenti, i loro rappresentanti, sono tenuti alla tenuta del registro del trattamento.

Il Registro dei Trattamenti contiene una serie di informazioni sulle attività riguardanti il trattamento dei dati personali, quali:

  • il nome e i dati di contatto del titolare (ed eventualmente del contitolare) del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali trattati;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi eventualmente i destinatari di paesi terzi non appartenenti all'Unione Europea od organizzazioni internazionali;
  • nel caso in cui sia previsto, l'indicazione del fatto che i dati personali saranno trasferiti verso un paese terzo o un'organizzazione internazionale, indicando anche di quale paese od organizzazione internazionale si tratta e, inoltre, la documentazione delle garanzie previste;
  • i termini ultimi stabiliti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti.
Il Registro dei Trattamenti è uno strumento fondamentale non soltanto ai fini di eventuali controlli di legittimità da parte del Garante, ma anche perché consente di avere a disposizione un quadro aggiornato dei trattamenti che vengono realizzati nell'azienda, organizzazione o soggetto pubblico. Quest'ultima circostanza sarà importante, in particolare, per poter realizzare una corretta ed efficace analisi e valutazione dei rischi e per facilitare gli Audit e qualsivoglia tipo di verifica.

Un'adeguata predisposizione del Registro dei Trattamenti è, infatti, un elemento importante al fine di realizzare un corretto trattamento dei dati personali, in linea con il concetto di responsabilizzazione (accountability), a prescindere dalle dimensioni effettive dell'organizzazione aziendale.




MENTRE VOI CONTINUATE IL VOSTRO LAVORO NOI METTIAMO LA VOSTRA AZIENDA IN CONDIZIONI DI OTTEMPERARE A TUTTI GLI OBBLIGHI ED A TUTTE LE CONDIZIONI CHE VI PERMETONO DI ESSERE GDPR COMPLIANT, CONTINUANDO AD ASSISTERVI ANNO DOPO ANNO, GARANTENDOVI IL RISULTATO CHE CERCATE CON IL MINIMO DISTURBO ED IL MIMIMO COSTO.

Contattateci e vi risponderemo entro 24 ore.