Privacy, come mettersi in regola con il GDPR

• 

Dal 25 maggio 2018 è entrato in vigore il nuovo regolamento europeo (EU) 2016/679, che di fatto sostituisce il “Codice Privacy” in vigore dal 01/01/2004.

Il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzato non soltanto al formale rispetto delle regole, ma anche all'adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.

L'assenza o inefficacia delle procedure costituisce per il Titolare fonte di responsabilità (principio di rendicontazione o di "accountability", artt. 24 e 32).

La violazione delle disposizioni del regolamento è soggetta a sanzioni, inasprite rispetto alle precedenti norme privacy, amministrative pecuniarie fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente.

La EuroSos-Informatica segue un metodo flessibile e dinamico che in tre fasi ti permette di metterti il regola con l’attuale normativa sulla privacy.

 

Fase 1: Analisi e valutazione rischi

In questa fase un nostro consulente analizza e valuta la conformità dell’azienda alla normativa vigente attraverso l’utilizzo di moduli e questionari specificatamente predisposti allo scopo di recuperare o rilevare le seguenti informazioni:

• Rilevazione dei dati dell'organizzazione, compreso il settore e il nome del rappresentante legale;
• Rilevazione/Indagine sullo stato di conformità dell'organizzazione alle norme privacy e di altre informazioni utili ai fini Privacy;
• Rilevazione dei trattamenti effettuati al momento della rilevazione;
• Rilevazione degli Asset intesi come beni materiali, immateriali, banche dati in possesso dell'organizzazione;
• Rilevazione dei membri coinvolti nel trattamento compresi dipendenti, collaboratori, fornitori che hanno, a qualsiasi titolo, accesso, diretto o indiretto, alle informazioni oggetto del trattamento;
• Rilevazione dei compiti svolti dai membri indicati al punto precedente;
• Censimento dei rischi e censimento delle misure adottate per la riduzione del rischio.

Fase 2: Elaborazione dati raccolti nella fase 1

Implementazione del sistema privacy:

• Registro dei Trattamenti.
• Membri privacy (tutti i soggetti che partecipano come incaricati o responsabili al sistema privacy).
• Asset (Applicazioni, Database, Archivi che contengono dati personali).
• Enterprise Risk Assessment, sistema di Risk analysis per la rilevazione degli impatti, minacce e calcolo residuo di rischio informatico o fisico.
• PIA (Privacy Impact Assessment).
• Procedure (Diritti Interessati, Privacy by Design/ Default, Data Breach).
• Registro Data Breach.
• Audit Pianificati.
• Evidenze per le attività di Audit compiute.

Fase 3: Produzione documenti

• Descrizione del sistema privacy dell'organizzazione
• Informativa per il trattamento condotto dall'organizzazione rivolto ai:
  • clienti;
  • dipendenti;
  • terzi;
• Registro dei Trattamenti;
• Enterprise Risk Management per la valutazione dei rischi relativi ad ogni Asset (database o applicazione);
• Identificazione dei trattamenti potenzialmente soggetti a PIA (Privacy Impact assessment);
• Web Documents: Informativa, Cookie Law;
• Asset, compresi i privilegi di accesso dei componenti del sistema privacy;
• Protocollo per il trattamento: lettere per la nomina dei soggetti autorizzati, comprensiva del protocollo per il trattamento dei dati, rivolta a:
  • dipendenti;
  • fornitori (terze parti);
  • collaboratori dell'organizzazione;
• Procedure ed Istruzioni pianificate:
  • Privacy by Design/Default;
  • Diritti degli Interessati;
  • Data Breach;
  • Nomina ed Interruzione incaricati/responsabili;
  • Assunzione nuovo dipendente;
  • Licenziamento o fine rapporto;
  • Misure minime ADS - gestione macchina utente;
  • Gestione della sicurezza della Rete Locale;
  • Dismissione fisica di una macchina;
  • Dismissione logica di una macchina;
  • Backup;
  • Conservazione delle copie logiche e cartacee;
  • Disaster Recovery e Business Continuity;
  • Gestione delle credenziali di accesso: evidenze di consegna;
  • Backup log dei sistemi interni e/o esterni all'organizzazione;
  • Procedura gestione interruzioni pregresse (procedura di verifica periodica);
• Redazione Audit pianificati:
  • Verifica dell'operato dell'Amministrazione di Sistema;
  • Verifica dell'operato del Database Administrator;
  • Verifica del mantenimento dei backup;
  • Verifica sui backup e sulle simulazione di restore (disaster recovery);
  • Verifica misure minime anti intrusione e anti deperimento;
  • Verifica adeguamento misure minime su dispositivi WI-FI;
• Codice di condotta del personale:
  • Internet;
  • Posta elettronica

Terminata la fase di adeguamento al nuovo regolamento Europeo 679/2016, la EuroSos-Informatica prevede per i clienti che lo richiedano un affiancamento annuale, al fine di monitorare, testare e aggiornare quanto svolto precedentemente. Tale attività di affiancamento non solo consente di superare la fase di adeguamento all’attuale normativa, ma soprattutto mira a garantire che quanto emerso dalla studio preventivo e dalle azioni proposte per adeguarsi hai nuovi standard di sicurezza siano recepite e messi in pratica nelle procedure quotidiane.

Questo permetterà alla vostra struttura di adottare un nuovo assetto pensato e studiato non solo su procedure scritte su carta, ma integrato nei vari processi utilizzati e assorbiti dal personale, oltre il semplice adeguamento cartaceo. 

Tramite simulazioni realistiche, saranno testate e verificate le reali capacità del personale preposto alla tutela e sicurezza dei dati, nell’adottare prassi e misure adeguate ai nuovi standard. Alcuni esempi previsti nelle simulazione:

• Attacco da parte di hecer/virus/etc del sistema informatico;
• Rottura di un dispositivo informatico;
• Procedure di verifica aggiornamenti sistemi informatici;
• Attivazione Procedure Disaster Recovery e Business Continuity;
• Richiesta di cancellazione dei dati personali;
• Richiesta di modifica dei dati personali;
• Richiesta visione dell’informativa sulla privacy per impianti di videosorveglianza;
• Simulazione prassi “Violazione dei dati personali”;
• Etc.

Ciò consentirà di verificare le misure di sicurezza in essere sia in termini di prevenzione che in termini di ripristino dell’operatività della struttura.

 

Il nostro team di esperti è a vostra completa disposizione, vi guiderà nella transizioni, permettendo alla vostra azienda di adeguarsi al nuovo regolamento Europeo sulla privacy.

 

Richiedi gratuitamente un appuntamento per un preventivo su misura.

 

PROFESSIONALITÀ E SICUREZZA AL TUO SERVIZIO!

---

 

 

Visite: 3833

• Aziende
• Sicurezza
• Servizi
• Sicurezza informatica
• DPS
• Rischi informatici
• Garante privacy
• Sanzioni
• Parlamento Europeo
• Regolamento UE protezione dati
• Dati Personali
• Gazzetta Ufficiale UE
• Protezione delle persone fisiche
• Trattamento dati
• Dati sensibili
• Norme libera circolazione dati
• Diritti protezione dati personali
• Libera circolazione dati personali
• Dato personale
• Trattamento
• Limitazione di trattamento
• Profilazione
• Responsabile del trattamento
• Autorità di controllo
• Direttiva (UE) 2016/680
• Garante