Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR.
Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo.
Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.
Per responsabilizzazione il GDPR intende non solo l'obbligo di conformarsi ai singoli adempimenti ma, soprattutto, di adottare un vero e proprio sistema di gestione privacy, un abito su misura cucito su ogni azienda, che renda i propri trattamenti conformi alla normativa.
Per far si che la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, soprattutto attraverso un riesame e aggiornamento delle stesse.
Tutte le misure tecniche e organizzative che vengono messe in atto, dovranno comprendere “una procedura per testare, verificare e valutare regolarmente” [arl. 32 gdpr] l’efficacia delle sesse misure per poterne garantire la sicurezza del trattamento.
La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
L'aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando vi sono novità normative o giurisprudenziali: nuove norme, linee guida, sentenze, ecc.
Ad esempio è quello che succederà per il Regolamento e-Privacy che sostituirà la direttiva 2002/58/CE. Oppure come già avvenuto con le modifiche determinate dal D. Lgs. 101/2018 in relazione al Codice della Privacy. Oppure ancora quando intervengono sentenze, pronunce dei tribunali oppure di provvedimenti del Garante.
Ogni singola azienda dovrà, di conseguenza, verificare quale sarà l'impatto sulle sue attività di trattamento.
Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business.
Ad esempio la sostituzione o i nuovi inserimenti di personale. In questi casi esiste l'obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.
Altri esempi possono riguardare la sostituzione dei PC o l'introduzione di nuovi software, la istallazione di un sistema di videosorveglianza, l'adozione di sistemi di controllo degli accessi [timbra cartellini, autenticazioni con impronta, ecc]
Sono rilevanti e determinano la necessità di revisione anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro, ad esempio per quanto riguarda l’affidabilità delle misure fisiche di protezione approntate.
Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti.
Un primo caso può essere quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che tale incidente ["data breach"] sia determinato da un errore umano, sia che dipenda da uno stumento informatico inadeguato, è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.
Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.
Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati.
Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia.
Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.
Come fare? Quali sono le attività da svolgere per la revisione e l’aggiornamento del Sistema di gestione privacy?
Quello che trovate di seguito è un elenco delle attività che dovrebbero essere comprese in una corretta procedura che riguardi il tuo Sistema di gestione privacy.
L'articolo proviene da Informatore Informatico
Un recentissimo studio sulle imprese lombarde ha evidenziato come l’emergenza sanitaria abbia reso evidente l’esigenza di migliorare il grado di digitalizzazione * Lo studio ha anche evidenziato che la digitalizzazione delle imprese genera un risparmio Una impresa su tre ha avuto un risparmio immediato che si è attestato nel 40,4% dei casi in una somma tra i 10.000 euro e i 50.000 euro, e addirittura il 2,1% delle imprese ha dichiarato risparmi per più di mezzo miliardo di euro. E il 79% di questi...
Scritto da: Luigi DuraccioLa nuova legge di Bilancio 2021 prevede una lunga serie di bonus ed agevolazioni. Anche in questo caso districarsi in questa giungla non è facile. Ancora una volta ci affidiamo all’avv. Stefano Nardini, in un breve video, per capire quanti e quali sono i bonus previsti, chi può richiederli, come accedervi. Buona visione!
Scritto da: Luigi DuraccioIl furto di identità come mezzo per realizzare le frodi creditizie. Le vittime? Uomini, soprattutto. Il furto di identità come mezzo per realizzare le frodi creditizie. Le vittime? Uomini, soprattutto. Nei primi 6 mesi del 2020 sono state scoperte oltre 11.200 frodi creditizie tramite furto d’identità (Fonte Osservatorio Crif – Mister Credit). Il danno stimato supera i 65 milioni di Euro, mentre l‘importo medio della singola frode si è attestato a 5.792 €, in aumento del +24,2% rispetto a quello rilevato nei primi...
Scritto da: Luigi DuraccioTutti i sistemi sono vulnerabili, e tutte le protezioni possono essere superate. Ma esistono soluzioni per recuperare i file criptati? Scopriamo insieme una soluzione semplice, potente, veloce. Ripetiamo ormai da molto tempo che la protezione al 100% non esiste e le strategie degli hacker, per superare le difese si evolvono e traggono continuamente nuova linfa dall’aumento degli strumenti utilizzati. Se a questo aggiungiamo l’evoluzione del contesto, il lavoro remoto ad esempio, la scarsa alfabetizzazione degli utenti e la quasi totale mancanza di...
Scritto da: Luigi DuraccioL'Agenzie delle Entrate e la Polizia Postale mettono in guardia su l'utilizzo del Bonus 110% per campagne di phishing. L'argomento è, in questo periodo, di grande attualità e molto sensibile. E' quindi molto facile cadere nella trappola e, nonostante gli avvertimenti delle autorità, in molti sono già caduti vittime di questa massiccia campagna di phishing. Il phishing è una particolare tipologia di frode online. Lo scopo dei malintenzionati è quello di entrare in possesso dei dati personali e confidenziali degli utenti. Più...
Scritto da: Luigi DuraccioDalla incapacità di proteggere in maniera adeguata le informazioni, i dati, deriva la estrema insicurezza dei sistemi informatici. E tutti coloro che hanno un qualche potere decisionale in merito fanno finta di non vedere, o forse non vedono proprio. Con i continui allarmi sui pericoli che comporta l’adozione indiscriminata delle tecnologie digitali grazie all’eco suscitato da alcuni attacchi particolarmente significativi dell'ultimo anno, che hanno attirato l’attenzione dei media anche non specialistici attorno al tema della cybersecurity si è creato un certo...
Scritto da: Luigi DuraccioIl marketing diretto può essere fatto senza il tuo consenso ma con alcuni limiti non troppo chiari e spesso oltrepassati da molti con offerte commerciali molto invasive. C’è ancora grande confusione e poca consapevolezza, quasi sempre una scarsa conoscenza della normativa in materia, sia negli operatori che, ancor di più, negli interessati, che subiscono, a volte azioni molto invasive, rinunciando, di fatto, ai propri diritti in materia. Ancora una volta, con l’aiuto del nostro esperto in materia di protezione di dati personali,...
Scritto da: Luigi DuraccioDopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 il Comitato Europeo per la Protezione dei Dati arriva in aiuto delle imprese con la pubblicazione delle linee guida. Dopo quattro mesi di attesa, l’11 novembre 2020 l’European Data Protection Board apre finalmente uno spiraglio per chi trasferisce dati fuori UE, con la pubblicazione delle Raccomandazioni 01/2020. L’obiettivo è quello di dare delle linee guida per ricorrere lecitamente alle clausole contrattuali standard (SCC) ed individuare, caso per...
Scritto da: Luigi DuraccioQuanto è facile conoscere la positività di un soggetto: la privacy dei cittadini è a rischio? I controlli del Garante Durante questa emergenza sanitaria, quello che sta succedendo, in maniera sempre più frequente, è la possibilità, per un numero elevatissimo di soggetti, di doversi sottoporre a trattamenti sanitari quali tamponi, test sierologici e altre analisi, oppure di trovarsi nella situazione che venga rilevata la possibile positività al virus, ad esempio all'ingresso in azienda se venga rilevata una temperatura superiore ai 37,5° oppure per la...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.