Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR.
Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo.
Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.
Per responsabilizzazione il GDPR intende non solo l'obbligo di conformarsi ai singoli adempimenti ma, soprattutto, di adottare un vero e proprio sistema di gestione privacy, un abito su misura cucito su ogni azienda, che renda i propri trattamenti conformi alla normativa.
Per far si che la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, soprattutto attraverso un riesame e aggiornamento delle stesse.
Tutte le misure tecniche e organizzative che vengono messe in atto, dovranno comprendere “una procedura per testare, verificare e valutare regolarmente” [arl. 32 gdpr] l’efficacia delle sesse misure per poterne garantire la sicurezza del trattamento.
La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
L'aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando vi sono novità normative o giurisprudenziali: nuove norme, linee guida, sentenze, ecc.
Ad esempio è quello che succederà per il Regolamento e-Privacy che sostituirà la direttiva 2002/58/CE. Oppure come già avvenuto con le modifiche determinate dal D. Lgs. 101/2018 in relazione al Codice della Privacy. Oppure ancora quando intervengono sentenze, pronunce dei tribunali oppure di provvedimenti del Garante.
Ogni singola azienda dovrà, di conseguenza, verificare quale sarà l'impatto sulle sue attività di trattamento.
Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business.
Ad esempio la sostituzione o i nuovi inserimenti di personale. In questi casi esiste l'obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.
Altri esempi possono riguardare la sostituzione dei PC o l'introduzione di nuovi software, la istallazione di un sistema di videosorveglianza, l'adozione di sistemi di controllo degli accessi [timbra cartellini, autenticazioni con impronta, ecc]
Sono rilevanti e determinano la necessità di revisione anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro, ad esempio per quanto riguarda l’affidabilità delle misure fisiche di protezione approntate.
Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti.
Un primo caso può essere quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che tale incidente ["data breach"] sia determinato da un errore umano, sia che dipenda da uno stumento informatico inadeguato, è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.
Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.
Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati.
Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia.
Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.
Come fare? Quali sono le attività da svolgere per la revisione e l’aggiornamento del Sistema di gestione privacy?
Quello che trovate di seguito è un elenco delle attività che dovrebbero essere comprese in una corretta procedura che riguardi il tuo Sistema di gestione privacy.
L'articolo proviene da Informatore Informatico
Nel 2° trim sono aumentati del 250% con un picco a giugno: il 2020 sta diventando l’anno peggiore di sempre! Nel secondo trimestre di quest’anno, in Italia, gli attacchi informatici sono esplosi a dismisura, +250% rispetto al trimestre precedente, toccando un picco preoccupante nel mese di giugno. Sono dati pubblicati in una ricerca dell’osservatorio cybersecurity di Exprivia. A determinare questa situazione una serie di fattori, primo fra tutti l’emergenza Covid-19 che ha costretto molti a lavorare in smart working o, comunque, in...
Scritto da: Luigi DuraccioImportante A seguito della sentenza del 16 luglio 2020 nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland che ha di fatto invalidato il Privacy Shield, stiamo rivedendo questo articolo. Al momento non ci sono ancora molte indicazioni in merito. Ecco quello che devi sapere per ora: Normalmente, per trasferire al di fuori dell’UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR (se ad esempio salvi dati personali di cittadini dell’UE su un server negli...
Scritto da: Luigi DuraccioFino a poco tempo fa gli hacker usavano i ransomware per crittografare i dati e chiedere un riscatto. Ora i cybercriminali minacciano di segnalare al Garante della Privacy la mancata adozione delle misure di sicurezza prescritte dal Gdpr. Da Federprivacy.it A segnalare questo fenomeno è stato il ricercatore informatico Victor Gevers, che ha rivelato come in una campagna di estorsioni online un singolo hacker sarebbe riuscito ad accedere a ben 23.000 server tramite internet utilizzando degli strumenti automatizzati per individuare quali di essi non erano dovutamente...
Scritto da: Luigi DuraccioInsieme ai gestori sanzionati anche partner commerciale e call center: nel mirino anche i procacciatori che trattano i dati senza affidamento e autorizzazione. La vicenda è ormai arcinota: Wind Tre Spa è stata sanzionata per circa 17 milioni di euro per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali. La sanzione si inquadra all'interno dell’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente...
Scritto da: Luigi Duraccio11 milioni di caselle attive, oltre 3 miliardi di messaggi scambiati, 19 gestori accreditati: sono i numeri della PEC da inizio 2019 ad oggi. La PEC garantisce pieno valore legale alle comunicazioni, al pari di una raccomandata, ed è completamente digitale. Fonte: In4mati Con le ultime disposizioni aumenta ancora la diffusione di questo strumento, completamente digitale, che garantisce pieno valore legale alle comunicazioni, al pari di una raccomandata, e consente una trasmissione dei messaggi più semplice, comoda e veloce permettendo ai cittadini risparmi...
Scritto da: Luigi DuraccioLa utilizziamo tutti i giorni ma non sappiamo di farlo. Com'è regolata l'Identità digitale, quali sono le responsabilità del proprietario e di chi la utilizza, cos'è lo SPID, il Sistema Pubblico di Identità Digitale: la parola all'esperto. L'identità digitale può essere definita come la rappresentazione digitale di un utente con cui ci si muove all'interno di un sistema informatico (es. internet). Più semplicemente la identificazione di un utente attraverso username e password ed è legata al concetto di domicilio informatico (vedi PEC), e di...
Scritto da: Luigi DuraccioDa oggi inauguriamo una rubrica in cui ospitiamo l'editoriale di un professionista, un nostro partner in ambito gdpr e sicurezza informatica, che, in un breve contributo video, ci guida all'interno del mondo digitale. Oggi il focus è sui cookies. Ne sentiamo parlare in continuazione e li incontriamo sempre quando navighiamo in internet ma, per molti di noi, sono solo quel fastidioso banner su cui facciamo click, quasi automanticamente, per continuare la navigazione e non sappiamo cosa abbiamo accettato. Il video ci spiega...
Scritto da: Luigi DuraccioNegli ultimi giorni sono venuti a galla diversi attacchi da parte di criminali informatici ad importanti multinazionali o aziende internazionali. Che cosa ci insegnano tutti questi casi? Dopo gli attacchi a Honda, Enel e Nintendo, si allunga l'elenco di illustri vittime del crimine informatico con l'attacco subito da Geox. Gli attacchi non hanno tutti la stessa matrice ma possono insegnarci qualcosa sopratutto, ci dicono molto sulla consapevolezza, scarsa, delle aziende e degli utenti riguardo ai rischi informatici. Partiamo da casa nostra. Il disservizio sulla propria rete informatica...
Scritto da: Luigi DuraccioIl 4 Maggio scorso, il comitato europeo dei Garanti (EDPB), ha emanato una nuova direttiva con le linee guida in materia di cookie e consenso, in particolare sulla validità del consenso tramite lo "scroll" e la presenza dei "cookiewall". Quelli che tra di voi sono più attenti avranno notato che, almeno in alcuni siti, i banner che segnalano la presenza dei cookie sono un po' cambiati. Questi banner sono quegli avvisi, spesso molto piccoli, che compaiono quando accedete per la prima...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.