Cosa fare per il GDPR

L’oramai ben noto GDPR (General Data Protection Regulation) o Regolamento Europeo n. 679/2016 sulla protezione dei dati personali diverrà direttamente applicabile dal 25 maggio 2018.

Questa data segna il termine ultimo di adeguamento e per la Pubblica Amministrazione, locale o centrale, piccola o grande che sia, gli adempimenti sono numerosi, alcuni veramente complessi.

La prima cosa da evidenziare è un cambio di paradigma della disciplina rispetto alle norme precedenti di tutela dei dati personali, a partire dalla direttiva 95/46/CE e dal Testo Unico della Privacy italiano.

Si parla di accountability ovvero di focus sulla responsabilizzazione del Titolare del trattamento, che dovrebbe dimostrare di aver raggiunto la conformità al Regolamento attraverso l’adozione di tutta una serie di misure tecniche, tecnologiche, organizzative, procedurali e logistiche. D’ora in avanti non esistono più livelli minimi predefiniti ma soltanto misure idonee, scaturite dalle risultanze dell’analisi del rischio.

I principi già presenti nel vecchio ordinamento, ereditati dalla Convenzione europea dei diritti dell’uomo del 1950 (art. 8 tutela del diritto alla vita privata e familiare) sono tutti chiaramente confermati. Parliamo di liceità del trattamento, conforme solo quando l’interessato esprime esplicito consenso, oltre che di proporzionalità, adeguatezza, pertinenza e non eccedenza dei dati rispetto alle finalità chiaramente espresse nella dovuta informativa.

Più volte il Garante italiano ha messo in evidenza l’importanza dell’informativa rispetto alla tutela dei diritti dell’interessato che deve anche includere le indicazioni sulla finalità del trattamento, gli eventuali destinatari/utilizzatori delle informazioni trattate, il periodo di conservazione dei dati, la possibilità di rettifica o cancellazione, la garanzia di accesso ai dati, la portabilità dei dati e infine il diritto di opposizione.

RICHIESTA INFORMAZIONI SERVIZIO GDPR PER LE PUBBLICHE AMMINISTRAZIONI

Le priorità di attuazione per una pubblica amministrazione sono:

  • la designazione del DPO (Data Protection Officer), figura chiave nella gestione del sistema privacy
  • l’istituzione del Registro delle attività di trattamento (più semplice se informatizzato)
  • la redazione di informative semplificate con la relativa acquisizione e gestione dei consensi
  • la procedura per la notifica delle violazioni dei dati personali (data breach)
  • la valutazione d’impatto da violazioni (DPIA – Data Protection Impact Assessment)
  • l’adozione di misure di sicurezza idonee e basate sull’analisi del rischio.

La materia è nuova, non sono generalmente presenti figure specialistiche nell’ente, le risorse e il tempo sono sempre inferiori al necessario. Come fare allora?
MoroLabs aiuta da anni gli enti pubblici del settore sanitario e del governo locale nel raggiungimento non soltanto della conformità normativa ma di un livello adeguato di sicurezza delle informazioni grazie al personale specialistico e certificato.
Non è una singola azione a risolvere il problema ma un vero e proprio percorso, difficile, complesso, pieno di ostacoli; una battaglia di civiltà da portare avanti insieme.
La lunga esperienza nella gestione dei Sistemi di Governance e Gestione della Sicurezza delle Informazioni, ben strutturata e organizzata, garantisce una gestione efficace ed efficiente dei requisiti normativi, con particolare attenzione al miglioramento continuo tipico del ciclo di Deming (PDCA), alla base delle norme ISO di qualità dei processi e della sicurezza.
Al fine di raggiungere un adeguato livello di sicurezza e conformità, sono previste delle azioni suddivise in 3 macro fasi operative:

Fase 1

Fase 1

La Fase 1 prevede la valutazione dell’esistente e, seguendo la regola delle 5W+2, è effettuata una prima mappatura dei trattamenti e dei ruoli, con una attenzione speciale alle categorie di dati particolari.

La rilevazione riguarda nello specifico le finalità dei trattamenti, le categorie degli interessati e dei dati trattati, i destinatari della comunicazione dei dati, i termini ultimi previsti per la cancellazione dei dati, i trattamenti nei quali i dati sono comunicati ai destinatari di Paesi terzi ovvero di organizzazioni internazionali, i ruoli e le responsabilità per i trattamenti e le misure di sicurezza poste in essere per la protezione dei dati.

Dette informazioni confluiscono progressivamente nell’applicazione web GDPR-PA (inclusa nel servizio), che permette di costituire a norma di legge il “Registro delle attività di trattamento di dati personali” effettuati dall’organizzazione.

A seguire è effettuata un’analisi e misura della distanza dalla conformità o dagli obiettivi previsti; quindi è redatto un piano degli interventi di risoluzione ordinati per priorità rispetto alle situazioni di rischio o di non conformità più elevate.

  1. Privacy Assessment
  2. Sistema Privacy ovvero il Modello Organizzativo
  3. Implementazione e Gestione della Data Protection.
Fase 2

Fase 2

La Fase 2 riguarda la costituzione del Sistema Privacy ovvero la definizione del Modello Organizzativo che dovrà garantire al contempo, conformità normativa e protezione reale delle informazioni.

Si individuano le figure coinvolte nel trattamento dei dati come Titolare, Contitolare, DPO, Responsabili interni ed esterni ma anche incaricati e amministratori di sistema, si delimitano ruoli e responsabilità, si procede con la definizione dei processi e quindi con la redazione delle relative policy e procedure.

Il supporto alle attività riguarda anche specifiche azioni rivolte al Privacy by design (protezione dei dati fin dalla progettazione) e Privacy by default (impostazione predefinita che contempla il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate); in questi ambiti è molto più lineare operare su nuovi trattamenti piuttosto che interagire con modalità oramai sedimentate o applicativi software non facilmente integrabili. Anche in questo caso l’azione del legislatore è volta alla trasformazione dei comportamenti e approcci da reattivi a proattivi, almeno nel trattamento dei dati personali.

Inizia subito dalla Fase 2 la formazione e tutte le attività di sensibilizzazione alla privacy poiché la protezione inizia proprio da chi è direttamente coinvolto nel trattamento dei dati.

Fase 3

Fase 3

  • valutazione di impatto Privacy (secondo il paradigma risk based)
  • definizione del Piano di trattamento del rischio
  • implementazione delle Policy e delle Procedure in ottica di data protection
  • implementazione di misure di sicurezza idonee
  • attività del DPO, incluso l’essere supervisore indipendente, facilitatore e comunicatore
  • controlli periodici con specifici audit.

A questo punto inizia l’applicazione del principio del miglioramento continuo alla base delle norme volontarie sulla qualità di processo; la revisione periodica dei processi privacy e delle procedure unite alla formazione continua degli incaricati non solo dal punto di vista normativo ma anche rispetto alla continua evoluzione tecnologica e di conseguenza delle modalità di attacco.

Con la stessa logica si procede con gli audit sistematici volti a verificare l’applicazione delle misure di sicurezza inclusa la documentazione, come anche le evidenze o le registrazioni che devono essere conservate a prova del rispetto e dell’applicazione del principio di accountability del titolare e dei responsabili.

Come intraprendere questo lungo percorso?

Semplice! Con un primo incontro di valutazione della situazione completamente GRATUITO!

Il GDPR non deve essere visto come una norma dall’applicazione verticalizzata ovvero senza impatti rispetto a tutte le altre incombenze. È necessario definire una strategia complessiva rispetto al Codice dell’Amministrazione Digitale, alle norme sulla trasparenza e alla conservazione digitale.

Una occasione unica di innovazione, finalmente in chiave digitale, della macchina burocratica e dei processi amministrativi.

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt