Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR.
Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo.
Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.
Per responsabilizzazione il GDPR intende non solo l'obbligo di conformarsi ai singoli adempimenti ma, soprattutto, di adottare un vero e proprio sistema di gestione privacy, un abito su misura cucito su ogni azienda, che renda i propri trattamenti conformi alla normativa.
Per far si che la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, soprattutto attraverso un riesame e aggiornamento delle stesse.
Tutte le misure tecniche e organizzative che vengono messe in atto, dovranno comprendere “una procedura per testare, verificare e valutare regolarmente” [arl. 32 gdpr] l’efficacia delle sesse misure per poterne garantire la sicurezza del trattamento.
La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
L'aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando vi sono novità normative o giurisprudenziali: nuove norme, linee guida, sentenze, ecc.
Ad esempio è quello che succederà per il Regolamento e-Privacy che sostituirà la direttiva 2002/58/CE. Oppure come già avvenuto con le modifiche determinate dal D. Lgs. 101/2018 in relazione al Codice della Privacy. Oppure ancora quando intervengono sentenze, pronunce dei tribunali oppure di provvedimenti del Garante.
Ogni singola azienda dovrà, di conseguenza, verificare quale sarà l'impatto sulle sue attività di trattamento.
Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business.
Ad esempio la sostituzione o i nuovi inserimenti di personale. In questi casi esiste l'obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.
Altri esempi possono riguardare la sostituzione dei PC o l'introduzione di nuovi software, la istallazione di un sistema di videosorveglianza, l'adozione di sistemi di controllo degli accessi [timbra cartellini, autenticazioni con impronta, ecc]
Sono rilevanti e determinano la necessità di revisione anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro, ad esempio per quanto riguarda l’affidabilità delle misure fisiche di protezione approntate.
Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti.
Un primo caso può essere quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che tale incidente ["data breach"] sia determinato da un errore umano, sia che dipenda da uno stumento informatico inadeguato, è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.
Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.
Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati.
Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia.
Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.
Come fare? Quali sono le attività da svolgere per la revisione e l’aggiornamento del Sistema di gestione privacy?
Quello che trovate di seguito è un elenco delle attività che dovrebbero essere comprese in una corretta procedura che riguardi il tuo Sistema di gestione privacy.
L'articolo proviene da Informatore Informatico
La predisposizione del manuale della conservazione, la nomina del responsabile della conservazione e del procedimento di conservazione, l’adeguamento ai fini privacy: ecco tutti gli adempimenti di cui nessuno ti ha mai parlato. Il prossimo 10 marzo scadono i termini per la conservazione digitale a norma delle fatture elettroniche del 2019. La scadenza coincide con i tre mesi dal termine per l’invio della dichiarazione dei redditi 2020 che, per effetto della proroga prevista dal decreto Ristori quater, poteva essere trasmessa fino al 10 dicembre scorso. Il nostro...
Scritto da: Luigi DuraccioIl datore di lavoro non può conoscere i dati relativi alle vaccinazioni. Intervento del Garante privacy. Acquisire i dati relativi alle vaccinazioni dei dipendenti non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. A questi comportamenti, incidendo su diritti fondamentali dell’individuo, è necessario applicare a particolari attenzioni. Negli ultimi giorni si sono aggiunti interventi chiarificatori del Garante per la protezione dei dati personali in relazione alla normativa sulla privacy. Il Garante...
Scritto da: Luigi DuraccioCarte di credito e ricaricabili sempre di più nel mirino degli hacker. Sono molte le truffe online in grado di svuotare i conti correnti e le prepagate. Non ci sono quasi più errori di sintassi o di grammatica, l’italiano è molto più scorrevole e questo si traduce in una maggiore difficoltà di accorgersi della truffa e quindi maggiori pericoli per gli utenti possessori di carte, soprattutto prepagate. Tra le più gettonate ci sono le truffe che hanno ad oggetto le carte prepagate...
Scritto da: Luigi DuraccioI ransomware sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Vediamo come è fatto ed un metodo innovativo per proteggersi. Quando un sistema informatico viene attaccato da un ransomware e i file contenuti vengono crittografati significa che il virus ha già superato tutte le difese. Oltre a questo molti malfattori che li programmano non si accontentano e non si fermano dopo aver sfondato le barriere di protezione di un solo PC: non è...
Scritto da: Luigi DuraccioCrimine informatico, solo il Covid sta facendo più danni. Il quadro del 2020. Quando un sistema informatico viene attaccato e le difese informatiche di un’azienda vengono superate, l’hacker paralizza il sistema informativo e preleva dati, contratti, accordi, informazioni segrete e rilevanti, informazioni personali. L’attacco, di solito, parte di notte, spesso di sabato, e la mattina, quando apri il computer, è già troppo tardi: file contenuti nei PC, nei server, nei backup, vengono crittografati e non sono più utilizzabili. A questo punto viene chiesto di pagare...
Scritto da: Luigi DuraccioAffidarci alle solite misure o sperare nelle competenze degli utenti equivale ad un suicidio. Il modello “security-as-a-service” nei processi di security integrata. A causa, o grazie alla pandemia, ora l’ufficio può essere ovunque e senza vincoli e le aziende si ritrovano sempre meno vincolate alle tradizionali infrastrutture di rete e a un ufficio fisico. L’adozione di massa e “frettolosa” del lavoro da remoto ha fatto emergere, tuttavia, in tema di sicurezza informatica e difesa dal cybercrime, tutte le criticità di una mal-gestione [o nessuna...
Scritto da: Luigi DuraccioIn un quadro di cambiamento del Paese diventa irrinunciabile, per le aziende, investire sulla “formazione” del personale attraverso enti o società di formazione che portano i loro saperi direttamente all’interno. Il virus ci impone di cambiare e per questo dobbiamo rimboccarci le maniche e costruire un nuovo modo di vivere e di produrre. Dobbiamo agire subito senza aspettare la fine della crisi. La tecnologia ci sarà di aiuto nel cambiamento e dovrà essere impiegata di più nelle aziende. Perché questo avvenga occorre modificare la...
Scritto da: Luigi DuraccioPare che EcoCare, un sito fatto sviluppare dal Parlamento Europeo, non rispetti la stringente normativa europea prevista per la tutela dei dati personali. Se anche i “regolatori” hanno difficoltà ad osservare le norme scritte da loro stessi vuol dire che c’è un problema nell’affrontare una norma con troppa leggerezza. La norma impone un’autovalutazione che spesso necessita dell’insostituibile consulenza di esperti in più settori. Guarda il video sull’argomento pubblicato dall’Avvocato Stefano Nardini che ha affrontato questo caso particolare sul suo canale YouTube.
Scritto da: Luigi DuraccioIl 31 gennaio scade un termine importante del punto di vista fiscale: la conservazione digitale a norma delle fatture elettroniche. In realtà il termine è slittato al 10 marzo a seguito della proroga disposta dal decreto ristori alla presentazione della dichiarazione dei redditi. Questo perchè il termine per la conservazione delle fatture si calcola proprio a partire da quello per la presentazione della dichiarazione dei redditi. Occorre avere le idee chiare per poter adempiere a quanto richiesto dalla normativa. Le norme...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.