perm_device_information

GDPR

N-Bit

Introduzione

Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), indicato ufficialmente come regolamento (UE) n. 2016/679 è stato adottato dal Parlamento Europeo nell'aprile 2016 dopo quattro anni di dibattiti e trattative. Le disposizioni rafforzano la protezione dei dati – coerentemente con le attuali preoccupazioni sulla privacy – e devono essere rispettate sia dalle aziende con sede nell'Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.

A chi si rivolge

La Gdpr stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

Nell'ambito dalle attività del titolare del trattamento esso deve fornire informazioni a tutti coloro che all'interno della normativa sono definiti soggetti interessati al trattamento

Questo può comprendere dalle informazioni in mano alle risorse umane sul proprio organico, passando per l'analisi di dati per attività di marketing targettizzato (ovvero su misura del cliente) all'utilizzo di dati ordinariamente utilizzati per lo svolgimento delle proprie attività lavorative.

Data Protection Impact Assessment

La valutazione d'impatto (Data Protection Impact Assessment, abbreviata anche in DPIA) è uno dei nuovi adempimenti previsti dal GDPR (vedi art. 35) che illustra un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.

Il DPIA viene inquadrato come uno strumento essenziale e fondamentale per tutti i titolari e responsabili del trattamento al fine di dar corso al nuovo approccio alla protezione dei dati personali voluto dal legislatore comunitario e fortemente basato sul principio della responsabilizzazione (detto anche accountability principle).

Il DPIA è quindi di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l'osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza.

N-Bit si avvale di una piattaforma online che mette in condizioni l'utente, tramite menù a scorrimento, di redigere tutta la documentazione necessaria e richiesta dal garante; l'elemento fondamentale della procedura è il calcolo del DP (valutazione dell'impatto sulla protezione dei dati).

La procedura è volta a descrivere il trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. L'articolo 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio quando un trattamento di dati personali "presenti un rischio elevato per i diritti e le libertà delle persone fisiche".

Pertanto, al fine di essere in regola in riferimento al nuovo regolamento U.E, non occorre solamente redigere la documentazione richiesta ma è necessario valutare il rischio e la protezione dei dati – siano essi in forma cartacea che in forma digitale – e provvedere ad apportare tutte le misure necessarie per raggiungere un livello di sicurezza accettabile.

La piattaforma messa a disposizione da N-Bit prevede una sezione dedicata alla sicurezza del trattamento dei dati che al termine della compilazione restituirà un valore da 0 a 100 che rappresenta il livello di sicurezza rilevato.

Nomine

Viene definito titolare del trattamento il soggetto che tratta i dati, mentre l'interessato (in inglese data subject) è il soggetto a cui si riferiscono i dati. La caratteristica fondamentale del titolare è la capacità di determinare "finalità e mezzi del trattamento" (art. 4 del GDPR).

Dal punto di vista della normativa europea, chiunque, all'interno di una organizzazione tratti i dati sotto l'autorità diretta del titolare è soggetto autorizzato o incaricato al trattamento. Poiché il Titolare può essere chiamato a render conto delle proprie scelte, affiderà i compiti ai propri dipendenti, ai dirigenti e ai collaboratori in modo consapevole e ragionato.

La nomina formale di un incaricato o di un responsabile interno non diminuisce in alcun modo la responsabilità del Titolare.

Comunicazione e formazione

Il Titolare ha l'obbligo di formare e informare dipendenti e collaboratori (di qualunque livello e grado) in merito alla protezione dei dati personali trattati dall'impresa e alle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento.

Il regolamento UE 2016/679 prevede che il titolare del trattamento dei dati comunichi le policy ai propri dipendenti, ai collaboratori esterni, ai clienti, ai fornitori e a tutti quei soggetti che rientrino nell'ambito di processo di trattamento; il mansionario ed eventuali procedure di mitigazione dei rischi ai dipendenti e collaboratori interni.

La mancata comunicazione di quanto sopra indicato comporta una sanzione amministrativa a discrezione degli ispettori incaricati al controllo.

Policy

Tra le attività previste ai fini di una corretta Compliance (conformità) è prevista una verifica della privacy aziendale come indicato nel precedente DPS, ai sensi dell’allegato B, D.Lgs. 196/2003 integrando tale documento in riferimento a quanto previsto con l’entrata in vigore del GDPR in funzione delle previsioni contenute negli articolo 33 e ss. (Misure minime di sicurezza).

Organigramma aziendale

Il regolamento UE 2016/679 prevede, ai fini una corretta compilazione, la redazione dell' organigramma aziendale suddiviso per risorse umane e settori logistici.

Per quanto riguarda la logistica, occorre dichiarare – per ogni eventuale sede facente parte dell'azienda – la disposizione dei locali e la relativa strumentazione presente all'interno degli stessi.

Per quanto riguarda le risorse umane, dovranno essere suddivisi in maniera piramidale le varie figure professionali interne, i responsabili ed i subalterni.

Configurazione IT/TLC

Per la redazione della documentazione e al fine di potere valutare la DPIA saranno necessarie le seguenti attività:

  • Verificare e catalogare per ogni sede operativa di PC Client, Server e loro dislocazione all’interno dei locali;
  • Redigere un elenco sommario riferito alla tipologia dei sistemi operativi utilizzati e la presenza di antivirus.
  • Indicare se previsto un sistema di controllo DLP, la presenza di software per la crittografia o altro sistema utilizzato per la sicurezza informatica;
  • Verificare la presenza di password, indicare la tipologia di protezione per accesso ai singoli client e di eventuali ulteriori contromisure utilizzate per ovviare ad eventuali intrusioni accidentali nei sistemi informatici;
  • Verificare la presenza e catalogare eventuali sistemi di backup e procedure di disaster recovery;
  • Verificare la presenza di servizi in cloud, virtual server o altre risorse esterne;
  • Catalogare e verificare i livelli di amministrazione della rete, della gestione dei permessi e relative condivisioni di contenuti;
  • Valutare e catalogare gli impianto wifi, apparati e configurazioni per individuare i livelli di sicurezza;
  • Verificare e catalogare i quadri tecnici e degli apparati utilizzati per la gestione della rete network e relativa sicurezza;
  • Verificare la conformità e i livelli di sicurezza dei sistemi di videosorveglianza, anti intrusione e regolamentazione accessi.

Sanzioni

Per quanto è stato espresso nei punti precedenti, in base alla gravità dell'infrazione le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro (per le imprese al 2% del fatturato se superiore) oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d'affari.

Vantaggi

Affidarsi a N-Bit significa avere dei benefici immediati nella redazione del proprio documento GDPR.

Supporto ICT (Informatica & Telecomunicazioni)

Avvalendoci di consulenti specializzati nel settore della sicurezza informatica, sarà messo a tua disposizione e a disposizione dei tuoi clienti il nostro know-how per valutare in maniera congiunta i singoli contesti operativi.

Lo scopo di avvalersi di un supporto ICT sarà quello di analizzare quanto emerso dalle DPIA e studiare soluzioni mirate all'ottenimento di miglioramenti nella gestione del proprio sistema informativo, applicando tutte le misure necessarie in termini di sicurezza (informatica e logistica) per ottenere il rispetto delle normative vigenti, coadiuvando le figure professionali interne addette al settore ITC o assumendone il ruolo in caso di assenza.

Supporto legale

Su richiesta, il team di N-Bit si potrà avvalere di figure legali specializzate e competenti nel settore informatico, le quali avranno cura di verificare i dati forniti per la stesura della documentazione al fine di ottenere un risultato di elevata qualità in termini giuridici.

I legali saranno inoltre a disposizione della clientela anche in caso di controlli o contestazioni da parte delle figure di controllo indicate dal garante; a tale scopo – su incarico – potranno fornire una prima consulenza di base a titolo gratuito.

La piattaforma

La piattaforma utilizzata da N-Bit è un software essenziale per ottenere la compliance al GDPR. Attraverso l'inserimento e la successiva elaborazione dei dati richiesti permette di realizzare totalmente in automatico:

  • Organigramma
  • Registro dei trattamenti completo ed esaustivo
  • Privacy Impact Assessment (PIA), documento valutazione rischi con calcolo del coefficiente di compliance alla sicurezza
  • Registro delle future mitigazioni dei rischi
  • Registro e procedure in caso di data breach
  • Registro delle comunicazioni al Garante
  • modulistica richieste diritto all'oblio
  • Documentazione relativa alla videosorveglianza (se presente)
  • Documentazione relativa alla geolocalizzazione (se presente)
  • Gestione trattamento consensi conto terzi
  • Autocomposizione lettere di incarico e mansionari editabili
  • Autocomposizione delle informative
  • Documento riepilogativo di valutazione conformità al GDPR

La compliance

È possibile usufruire di tre differenti modalità operative per raggiungere la compliance alle nuove normative.

Compliance "fai da te"

Attraverso procedure guidate on-line sarà possibile compilare autonomamente tutte le sezioni fino alla creazione del registro dei trattamenti, del PIA di tutte le lettere di incarico e i mansionari di tutte le figure, nonché delle policy informatiche e delle policy privacy. Sarà messo a disposizione un accesso annuale che permetterà di apportare le modifiche in tempo reale e dimostrare durante un controllo di rispettare al 100% le normative riguardanti il GDPR.

Linee guida alla piattaforma

“Linee guida alla Piattaforma” prevede, oltre la consegna delle credenziale di accesso alla piattaforma, una fase della durata di 3 ore durante la quale verrà effettuata una formazione riguardante le funzionalità della piattaforma. Verranno fornite le linee guida basilari per l'inserimento dei primi censimenti di dati oggettivi (sedi, uffici, sistemi di elaborazione e data handler) ed indicate le figure principali quali i Data Controller, i Data Processor, l'Amministrazione di rete ed il DPO.
Prevista revisione compliance da parte del nostro studio legale.

Compliance totalmente assistita

Scegliendo la compliance totalmente assistita verranno messi a tua disposizione i nostri consulenti che, attraverso più sessioni on-site o remote, saranno in grado di comprendere e trascrivere tutte le informazioni necessarie per il popolamento della nostra piattaforma. Ultimato l' inserimento di tutti i flussi dati necessari al software, al termine del percorso avrai a tua disposizione non solo l'adempimento completo al GDPR ma anche l'accesso privato che ti permetterà di apportare modifiche ai dati qualora sia necessario.

Modalità operativa

Nel caso sia stata scelta la compliance totalmente assistita, il lavoro del nostro team si articolerà in tre fasi distinte.

Fase 1

Audit durante il quale un nostro consulente prenderà le informazioni e i flussi dati aziendali necessari per poter creare un ambiente personalizzato sulla nostra piattaforma. Durante questa fase, qualora sia stato richiesto anche il corso di formazione all'uso della piattaforma, verrà illustrata la procedura di inserimento dei dati nei moduli interattivi per i primi censimenti di dati oggettivi (sedi, uffici, sistemi di elaborazione e data handler) che non necessitano di analisi. Verranno stabiliti di comune accordo le figure di Data Controller, Data Processor, eventuale presenza dell'Amministrazione di rete e di un DPO.

Fase 2

Audit durante il quale un nostro consulente – attraverso domande circostanziate – inserirà tutte le filiere dei dati, la loro ubicazione e il personale incaricato al trattamento. In questa fase verranno discussi anche i rischi di ogni banca dati, le mitigazioni di rischio relative e le mitigazioni future in base all'accountability dell'azienda.

Fase 3

Audit durante il quale un nostro consulente prenderà in esame la compliance al GDPR di sito internet, pagine dei social network, contrattualistica, informativa moduli, videosorveglianza, eventuale georeferenziazione veicoli.
Successivamente, i nostri consulenti elaboreranno tutti i dati e costruiranno online il registro dei trattamenti, il PIA (Privacy Impact Assessment), il registro degli interventi dell'Amministratore di rete ed il registro del Data. Verranno prodotte (in formato PDF) le seguenti documentazioni: lettere di incarico, mansionari, privacy policy, policy informatica, eventuali informative per sito web e modulistica.

Corsi GDPR

Il corso relativo alle normative GDPR prevede un incontro della durata di 2 ore. La formazione è finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

A chi è rivolto

A tutte quelle aziende mediamente strutturate che intendono garantire livelli di sicurezza adeguati e prevenire rischi durante il trattamento dei dati. Un livello accettabile di conoscenza, può mettere in condizioni l'utente incaricato al trattamento dei dati di riconoscere eventuali attacchi o di mitigare eventuali danni.

Per chi è obbligatorio

L'art. 29 del regolamento prevede, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati persona&helip; non può trattare tali dati se non è istruito in tal senso dal titolare….

Sanzioni

L'obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell'art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell'anno precedente se superiore.

Devi ancora adempiere alle nuove normative in materia di protezione dei dati oppure intendi far verificare se quanto da te redatto sia aderente alla nuova normativa GDPR?

Richiedi una consulenza