Il GDPR pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. ll processo di adeguamento è articolato e richiede un approccio in più fasi.
Sommario
UOMOeAMBIENTE effettua un’analisi iniziale dell’organizzazione attraverso procedure di test on site, per una prima valutazione sugli adempimenti normativi posti in essere e sull’efficacia delle misure adottate nel rispetto della vigente regolamentazione in materia di privacy e protezione dei dati personali. Si tratta di un’analisi effettuata sull’intera predisposizione documentale, se presente, nonché sui documenti informativi (e sui loro contenuti) o sui contratti di servizi per verificarne la correttezza ed il soddisfacimento dei nuovi requisiti imposti dal GDPR.
UOMOeAMBIENTE per definire la migliore strategia in materia di privacy e trattamento dei dati, effettua un audit on site in forma completa, utilizzando strumenti propri (manuali ed informatici) e partendo dall’identificazione dei dati presenti in base alla loro tipologia e classificazione, per poi rilevare i flussi di dati ed informazioni (dalla fonte, in termini di raccolta ed acquisizione, al loro utilizzo ed all’archiviazione o conservazione, fino allo smaltimento, in termini di cancellazione o eliminazione, degli stessi) che caratterizzano tutti i trattamenti funzionali allo svolgimento delle quotidiane attività, interne o esterne, dell’organizzazione, sia in modalità cartacea sia in modalità digitale, con strumenti informatici e telematici.
UOMOeAMBIENTE analizza e delinea efficacemente compiti e responsabilità di chi si occuperà della gestione della privacy e del trattamento dei dati all’interno della struttura aziendale in modo che sia chiaro chi può prendere decisioni, chi deve conformarsi a queste decisioni, quale sia il processo che governa le suddette decisioni, dalla fase della progettazione alla fase dell’implementazione e successiva verifica, e quali siano, infine, le responsabilità sia in capo a colui che decide sia in capo a colui che deve eseguire le decisioni in caso di non conformità delle stesse.
UOMOeAMBIENTE effettua un’analisi del rischio che possa aiutare a comprendere l’effettiva idoneità delle misure da adottare ai sensi del GDPR per prevenire i rischi derivanti da accessi non autorizzati o illeciti, dalla perdita o distruzione dei dati o dal danno accidentale e, in caso tali misure risultino insufficienti, quali siano le misure da implementare per raggiungere un livello adeguato di contrasto ai rischi ipotizzabili.
UOMOeAMBIENTE effettua la valutazione di impatto sulla protezione dei dati (art. 35 del GDPR) tutte le volte in cui essa si renda obbligatoria ovvero quando un trattamento (e prima di darvi inizio) può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori). In quest’ottica, fornisce il supporto necessario a consultare l’autorità di controllo in caso le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. Audit, Gap Analysis & definizione del Piano di Azione (GDPR Risk Management).
UOMOeAMBIENTE provvede alla stesura del registro dei trattamenti (art. 30 del GDPR) in ottemperanza all’obbligo di documentazione di una corretta gestione delle attività di trattamento, ove indicare tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti del GDPR siano costantemente rispettati. La tenuta del registro costituisce uno dei principali elementi di accountability, in quanto è utile per una completa ricognizione e valutazione dei trattamenti svolti, e quindi finalizzato anche all’analisi del rischio e ad una corretta pianificazione della gestione della privacy e del trattamento dei dati, nonché all’individuazione di un piano di miglioramento costante e continuo.
L’incarico di Data Protection Officer (DPO) assunto da UOMOeAMBIENTE prevede l’assolvimento di tutte quelle funzioni riconducibili all’osservanza, valutazione ed organizzazione della gestione del trattamento di dati e della loro protezione all’interno di un’azienda (sia essa pubblica che privata). In particolare, UOMOeAMBIENTE ha il compito di informare e fornire consulenza, sorvegliare l’osservanza del GDPR nonché delle politiche aziendali in materia di privacy e protezione dei dati personali, fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento, cooperare con l’autorità di controllo e fungere da punto di contatto non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.
Al fine di sviluppare un piano di gestione dei dati, soprattutto in termini di misure di cyber security, sia tecniche (fisiche e logiche) sia organizzative, UOMOeAMBIENTE adotta il metodo del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione) che assicura il monitoraggio ed il miglioramento continuo dei processi e delle procedure. Il metodo prevede che il sistema sia pianificato, implementato, controllato. I risultati dei controlli (attraverso audit periodici) sono funzionali alla stesura dell’intera predisposizione documentale (registro dei trattamenti, documenti informativi, designazione di ruoli e responsabilità di tutti i soggetti coinvolti nella filiera di trattamento, policies da pubblicare sul sito web, ecc.) e consentono di individuare un piano di miglioramento volto a favorire il monitoraggio e l’aggiornamento della stessa. La gestione del rischio, infatti, sarà sempre basata su una ciclicità idonea a testare in maniera continuativa il livello di rischio presente e a prendere le opportune contromisure qualora tale livello si riduca o si innalzi in ragione di alcuni fattori. Infine, dal momento che il rischio per definizione non è mai eliminabile, una governance del suddetto richiederà sempre la predisposizione di un piano di continuità che identifichi le misure volte a prevenire, individuare, reagire e ripristinare i dati e i sistemi sui quali si è concentrata l’analisi.
UOMOeAMBIENTE garantisce il supporto necessario alla valutazione di specifiche normative correlate al GDPR o, comunque, funzionali all’ottemperanza dello stesso. In tale contesto, oltre a fornire la modulistica richiesta dalla Direzione Territoriale del Lavoro per l’istanza di autorizzazione all’installazione di impianti audiovisivi, di impianti e apparecchiature di localizzazione satellitare (GPS) o di altri strumenti di controllo (ai sensi dello Statuto dei Lavoratori) si fa carico di monitorarne gli sviluppi e, se occorre, di interfacciarsi con l’autorità di competenza, fino alla conclusione della procedura.
News
Dal Nostro Blog
Hai Bisogno di
Più Informazioni?
Cerchi informazioni sul servizio?
Contattaci