Privacy, come mettersi in regola con il GDPR
Dal 25 maggio 2018 è entrato in vigore il nuovo regolamento europeo (EU) 2016/679, che di fatto sostituisce il “Codice Privacy” in vigore dal 01/01/2004.
Il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzato non soltanto al formale rispetto delle regole, ma anche all'adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.
L'assenza o inefficacia delle procedure costituisce per il Titolare fonte di responsabilità (principio di rendicontazione o di "accountability", artt. 24 e 32).
La violazione delle disposizioni del regolamento è soggetta a sanzioni, inasprite rispetto alle precedenti norme privacy, amministrative pecuniarie fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente.
La EuroSos-Informatica segue un metodo flessibile e dinamico che in tre fasi ti permette di metterti il regola con l’attuale normativa sulla privacy.
Fase 1: Analisi e valutazione rischi
In questa fase un nostro consulente analizza e valuta la conformità dell’azienda alla normativa vigente attraverso l’utilizzo di moduli e questionari specificatamente predisposti allo scopo di recuperare o rilevare le seguenti informazioni:
- Rilevazione dei dati dell'organizzazione, compreso il settore e il nome del rappresentante legale;
- Rilevazione/Indagine sullo stato di conformità dell'organizzazione alle norme privacy e di altre informazioni utili ai fini Privacy;
- Rilevazione dei trattamenti effettuati al momento della rilevazione;
- Rilevazione degli Asset intesi come beni materiali, immateriali, banche dati in possesso dell'organizzazione;
- Rilevazione dei membri coinvolti nel trattamento compresi dipendenti, collaboratori, fornitori che hanno, a qualsiasi titolo, accesso, diretto o indiretto, alle informazioni oggetto del trattamento;
- Rilevazione dei compiti svolti dai membri indicati al punto precedente;
- Censimento dei rischi e censimento delle misure adottate per la riduzione del rischio.
Fase 2: Elaborazione dati raccolti nella fase 1
Implementazione del sistema privacy:
- Registro dei Trattamenti.
- Membri privacy (tutti i soggetti che partecipano come incaricati o responsabili al sistema privacy).
- Asset (Applicazioni, Database, Archivi che contengono dati personali).
- Enterprise Risk Assessment, sistema di Risk analysis per la rilevazione degli impatti, minacce e calcolo residuo di rischio informatico o fisico.
- PIA (Privacy Impact Assessment).
- Procedure (Diritti Interessati, Privacy by Design/ Default, Data Breach).
- Registro Data Breach.
- Audit Pianificati.
- Evidenze per le attività di Audit compiute.
Fase 3: Produzione documenti
- Descrizione del sistema privacy dell'organizzazione
- Informativa per il trattamento condotto dall'organizzazione rivolto ai:
- clienti;
- dipendenti;
- terzi;
- Registro dei Trattamenti;
- Enterprise Risk Management per la valutazione dei rischi relativi ad ogni Asset (database o applicazione);
- Identificazione dei trattamenti potenzialmente soggetti a PIA (Privacy Impact assessment);
- Web Documents: Informativa, Cookie Law;
- Asset, compresi i privilegi di accesso dei componenti del sistema privacy;
- Protocollo per il trattamento: lettere per la nomina dei soggetti autorizzati, comprensiva del protocollo per il trattamento dei dati, rivolta a:
- dipendenti;
- fornitori (terze parti);
- collaboratori dell'organizzazione;
- Procedure ed Istruzioni pianificate:
- Privacy by Design/Default;
- Diritti degli Interessati;
- Data Breach;
- Nomina ed Interruzione incaricati/responsabili;
- Assunzione nuovo dipendente;
- Licenziamento o fine rapporto;
- Misure minime ADS - gestione macchina utente;
- Gestione della sicurezza della Rete Locale;
- Dismissione fisica di una macchina;
- Dismissione logica di una macchina;
- Backup;
- Conservazione delle copie logiche e cartacee;
- Disaster Recovery e Business Continuity;
- Gestione delle credenziali di accesso: evidenze di consegna;
- Backup log dei sistemi interni e/o esterni all'organizzazione;
- Procedura gestione interruzioni pregresse (procedura di verifica periodica);
- Redazione Audit pianificati:
- Verifica dell'operato dell'Amministrazione di Sistema;
- Verifica dell'operato del Database Administrator;
- Verifica del mantenimento dei backup;
- Verifica sui backup e sulle simulazione di restore (disaster recovery);
- Verifica misure minime anti intrusione e anti deperimento;
- Verifica adeguamento misure minime su dispositivi WI-FI;
- Codice di condotta del personale:
- Internet;
- Posta elettronica
Terminata la fase di adeguamento al nuovo regolamento Europeo 679/2016, la EuroSos-Informatica prevede per i clienti che lo richiedano un affiancamento annuale, al fine di monitorare, testare e aggiornare quanto svolto precedentemente. Tale attività di affiancamento non solo consente di superare la fase di adeguamento all’attuale normativa, ma soprattutto mira a garantire che quanto emerso dalla studio preventivo e dalle azioni proposte per adeguarsi hai nuovi standard di sicurezza siano recepite e messi in pratica nelle procedure quotidiane.
Questo permetterà alla vostra struttura di adottare un nuovo assetto pensato e studiato non solo su procedure scritte su carta, ma integrato nei vari processi utilizzati e assorbiti dal personale, oltre il semplice adeguamento cartaceo.
Tramite simulazioni realistiche, saranno testate e verificate le reali capacità del personale preposto alla tutela e sicurezza dei dati, nell’adottare prassi e misure adeguate ai nuovi standard. Alcuni esempi previsti nelle simulazione:
- Attacco da parte di hecer/virus/etc del sistema informatico;
- Rottura di un dispositivo informatico;
- Procedure di verifica aggiornamenti sistemi informatici;
- Attivazione Procedure Disaster Recovery e Business Continuity;
- Richiesta di cancellazione dei dati personali;
- Richiesta di modifica dei dati personali;
- Richiesta visione dell’informativa sulla privacy per impianti di videosorveglianza;
- Simulazione prassi “Violazione dei dati personali”;
- Etc.
Ciò consentirà di verificare le misure di sicurezza in essere sia in termini di prevenzione che in termini di ripristino dell’operatività della struttura.
Il nostro team di esperti è a vostra completa disposizione, vi guiderà nella transizioni, permettendo alla vostra azienda di adeguarsi al nuovo regolamento Europeo sulla privacy.
Richiedi gratuitamente un appuntamento per un preventivo su misura.
PROFESSIONALITÀ E SICUREZZA AL TUO SERVIZIO!
Visite: 4893