E-cons Srl, attraverso il suo staff, è pronta a supportare aziende, studi professionali o altri enti al raggiungimento della compliance privacy ossia la conformità, formale e sostanziale, alla normativa relativa al trattamento dei dati personali.
L’adeguamento privacy si svilupperà partendo da un’analisi preliminare della struttura aziendale al fine di esaminare la tipologia dei dati trattati in relazione all'attività svolta, in modo tale da poter individuare l’eventuale esistenza di criticità (rischio privacy), intervenendo per implementare le opportune soluzioni.
A seguito dell’audit iniziale, sulla base delle informazioni raccolte dai nostri consulenti, si procederà con la predisposizione di tutti i documenti necessari al raggiungimento della documentazione privacy, in particolare:
Il 25 Maggio 2016 è entrato in vigore “Il Regolamento Europeo Privacy” UE/2016/679 (GDPR). Il termine ultimo per adeguarsi ai nuovi obblighi privacy è fissato al 25 Maggio 2018.
I nuovi adempimenti privacy previsti dal Regolamento Europeo Privacy sono numerosi ed impegnativi e comportano la riformulazione delle strategie di business, la riorganizzazione dei processi aziendali, la riprogettazione del sistema informativo e la revisione di contratti, deleghe e nomine.
E’ necessario valutare l’attuale stato di adeguamento privacy della tua azienda e pianificare il percorso più facile, veloce ed economico per adempiere ai seguenti obblighi previsti dal Regolamento UE Privacy (GDPR):
In caso di mancato rispetto degli obblighi privacy il Regolamento Europeo Privacy (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a € 20.000.000 o fino al 4% del tuo Fatturato se maggiore di tale importo.
Uno dei principali adempimenti che il GDPR pone a carico del Titolare del trattamento è il dovere di fornire all’interessato l’informativa sul trattamento dati (art. 13-14); ossia una serie di informazioni in merito alle finalità e alle modalità con cui saranno gestiti i dati personali raccolti, al fine di garantire trasparenza e correttezza.
L’informativa che dovrà essere redatta utilizzando un linguaggio chiaro, semplice e comprensibile inoltre dovrà essere facilmente accessibile per l’interessato.
Tale documento deve quindi avere come contenuto minimo le seguenti indicazioni:
Chiaramente, laddove con il tempo le finalità di trattamento dovessero cambiare, il GDPR impone di informare l’interessato prima di procedere al nuovo trattamento, sarà quindi necessario fornire una nuova informativa.
L’informativa privacy dovrà inoltre essere strutturata in base alla categoria d’interessati a cui si rivolge, pertanto sarà necessario prevedere una specifica informativa per clienti ma anche una ad hoc per i dipendenti, così come per i candidati che si presentano ad un colloquio.
Discorso a parte, ma affine, è quello che riguarda il sito internet aziendale. In esso infatti dovrà essere presente una sezione dedicata alle policy privacy all’interno della quale sarà necessaria la presenza, tra le altre, anche di un’apposita informativa dedicata ai cookie eventualmente presenti. Essa dovrà esplicare le modalità per il consenso all’uso dei cookie, le modalità per la disabilitazione dei cookie e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.
Conclusivamente, è opportuno ricordare che non fornire l’informativa sul trattamento dati è uno dei comportamenti che il GDPR punisce con le sanzioni (economicamente) più elevate.
Gli autorizzati o designati al trattamento sono una categoria di soggetti, riconosciuti dal GDPR, a cui il titolare (o il responsabile), possono delegare compiti e funzioni relative al trattamento dei dati personali. Tali soggetti sono quindi le persone fisiche che operano sotto la sua autorità, fondamentalmente i dipendenti o i collaboratori sui materialmente operano sui dati personali raccolti dal titolare.
Il titolare (o il responsabile del trattamento), una volta individuati i soggetti “autorizzati” stabilirà in modo univoco a quali banche dati ha accesso e quali attività di trattamento la risorsa è autorizzata a compiere, prevendendo inoltre quelle che saranno le modalità più opportune per eseguire il trattamento
La nomina di autorizzato (o designato) al trattamento dei dati è un adempimento essenziale per il titolare del trattamento, con il quale non deve limitarsi a una mera attribuzione formale ma deve essere completata da tutte le indicazioni per svolgere le attività in modo adeguato.
Il titolare del trattamento, per mezzo degli atti di nomina, deve quindi:
E-cons affiancherà l’azienda cliente nell’inquadratura di tali ruoli e nella redazione di specifici atti di nomina per la designazione del personale autorizzata ai vari trattamenti.
L’art. 28 del GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento ma da un soggetto esterno alla realtà aziendale, quest’ultimo debba essere preventivamente incaricato di ciò mediante un apposito atto che disciplini questo trasferimento di dati; il titolare infatti, in questi casi, delega al responsabile la gestione di uno specifico trattamento.
Il rapporto titolare - responsabile è disciplinato da un contratto o altro atto giuridico che vada a regolamentare:
Quindi, assume la qualifica di “Responsabile del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Considerato che sul titolare del trattamento vige l’onere di fornire adeguate garanzie per assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché tutelare l’interessato garantendone i diritti previsti dal GDPR, egli dovrà avvalersi di Responsabili (del trattamento) che presentino garanzie adeguate e che mettano in atto misure tecniche e organizzative per la protezione dei dati personali secondo le disposizioni contenute nel Regolamento UE 2016/679.
E-cons Srl affiancherà l’azienda cliente nell’individuazione di tutte queste figure e si occuperà della redazione dei contratti di nomina per responsabili del trattamento.
Tra gli adempimenti prescritti dal GDPR in capo alle aziende che eseguano attività di trattamento di dati di persone fisiche, vi è l’elaborazione (in forma scritta o elettronica) del “Registro delle attività di trattamento dei dati personali”.
Il registro dei trattamenti è quindi un documento che va ad analizzare l’intero flusso dei dati aziendali andando ad individuare, in relazione ad ogni trattamento:
Ogni titolare e ogni responsabile del trattamento quindi deve attivarsi per redigere e mantenere aggiornato il registro delle attività di trattamento svolte sotto la propria responsabilità.
E-cons Srl mette a disposizione tutta la sua esperienza per affiancare l’azienda cliente nella redazione di specifici registri delle attività di trattamento per titolari e responsabili del trattamento.
Uno degli obblighi in carico al Titolare (e del Responsabile del trattamento), imposti dal regolamento UE 2016/679, è la sicurezza dei dati personali. La sicurezza nel regolamento equivale ai concetti di confidenzialità, integrità e disponibilità e segue un approccio risk-based.
Più alto è il rischio, maggiori devono essere le misure che Titolare o Responsabile del trattamento devono adottare per ridurre il livello di rischio.
Il titolare del trattamento deve quindi adottare comportamenti che dimostrino la concreta attuazione di misure finalizzate ad assicurare la protezione dei dati personali e l’applicazione del GDPR. L’analisi dei rischi dei trattamenti effettuati dall’azienda si configura come una risposta all’accountability richiesta.
Attraverso l’analisi dei rischi infatti si procede con un esame del flusso dei dati, delle metodologie di trattamento e delle misure di sicurezza previste per ciascuno dei trattamenti porti in essere.
L’analisi e la valutazione si svolge in più fasi:
E-cons Srl basa questa valutazione sulla metodologia ENISA (European Union Agency for Network and Information Security) alla quale è stata aggiunta l’analisi sui rischi fisici. Poiché l’approccio risk-based è parte integrante della valutazione d’impatto (DPIA), la disponibilità di documenti sulla valutazione del rischio facilita la compilazione, anche su base volontaria, della DPIA.
La valutazione del rischio è opportuno sia verificata e sottoposta a revisione su base annuale.
Il GDPR (General Data Protection Regulation) UE 2016/679 all’art. 37 stabilisce che il Titolare del trattamento e il responsabile del trattamento sono obbligati a designare sistematicamente un “Responsabile della Protezione dei Dati” (DPO) in tre casi specifici:
Le Linee Guida sui responsabili della protezione di dati (DPO) WP243 rev. 01 elaborate dal Gruppo di lavoro ex art.29 (WP29) raccomandano ai Titolari del trattamento e ai Responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti richiamati all’art. 24, paragrafo 1.
Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione.
Il GDPR riconosce in capo all’interessato, ossia il soggetto di cui vengono trattati i dati personali, un serie di diritti:
È quindi compito del Titolare del trattamento garantire all’interessato la possibilità di esercitare, senza pregiudizio, i sui diritti prevendendo un’apposita procedura per la gestione delle richieste.
Un adeguato sistema privacy non può non prevedere la gestione di un eventuale data breach.
Con data breach s’intende una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; è quindi una violazione dei dati personali che può compromettere la riservatezza, l’integrità o la disponibilità di dati stessi.
Si può configurare un data breach non solo nel caso di un attacco informatico (virus, cryptolocker, …) ma anche qualora si verifichi:
Qual ora dunque si concretizzi un data breach, Il titolare del trattamento (entro 72 ore dal momento in cui ne è venuto a conoscenza), deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche coinvolte.
Nel caso in cui il data breach si verifichi con riferimento ad un responsabile del trattamento egli è tenuto a informare tempestivamente il titolare in modo che possa attivarsi con la procedura di cui sopra.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto delle potenziali conseguenze (si pensi ad esempio al caso in cui siano violati dei database contenti le password, informare tempestivamente gli interessarti consente loro di andarle a modificare quanto prima).
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro.
E-cons Srl, sulla base degli art. 33 e 34 del GDPR, è solita predisporre apposti documenti quali:
Il GDPR prescrive che i dati siano trattati in modo da garantire un’adeguata sicurezza, mediante opportune misure tecniche e organizzative.
Le misure di sicurezza hanno il fine di proteggere i dati da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Tali misure dovranno essere quindi adottate tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Va precisato però che il GDPR non parla di misure di sicurezza “specifiche” ma di “adeguate” misure di sicurezza.
All’art. 32 fa riferimento all’applicazione, se del caso:
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Il titolare deve quindi fare in modo che chiunque agisca sotto la sua autorità o abbia accesso ai dati personali non li tratti se non è istruito e designato a quel trattamento.
Da ogni modo, qualunque misura tecnica e organizzativa, non sarà mai realmente efficace se, gli autorizzati non fanno parte del processo di adeguamento. Così come l’infrastruttura e i sistemi di trattamento dati potrebbero essere aggiornati, anche il personale addetto deve essere informato e formato sulle nuove procedure e norme.
Parallelamente alle misure di sicurezza informatica, andranno analizzata anche la sicurezza “fisica” dei locali, ossia la presenza di sistemi atti a prevenire eventi che potrebbero compromettere i dati quali ad esempio incendi, allagamenti, intrusioni, etc.
E-cons Srl infatti, nell’eseguire l’adeguamento normativo al GDPR ,è quindi solita inviare i propri consulenti presso le aziende clienti proprio al fine di poter eseguire anche un sopraluogo fisico atto a verificare la presenza di eventuali criticità e studiare le possibili soluzioni che il caso concreto richiede.
Per le aziende è ormai prassi consolidata l’implementazione di specifici regolamenti e/o procedure che vadano a disciplinare la “vita in azienda” sia dal punto di vista comportamentale sia per quello lavorativo. Raramente però vengono introdotti regolamenti interni che vadano a prevedere le regole comportamentali da seguire per la gestione dei dati personali e per l’utilizzo degli strumenti elettronici quali ade esempio pc, telefoni aziendali o l’account di posta elettronica aziendale).
L’applicazione di quest’ultima tipologia di regolamenti è però utile per evitare (e prevenire) condotte che, anche inconsapevolmente, possono comportare rischi alla sicurezza del sistema informativo aziendale: i regolamenti hanno lo scopo di dettare le procedure da adottare per una corretta e adeguata gestione dei dati personali gestiti in azienda.
Chiaramente, tali regolamenti devono essere preventivamente illustrati e spiegati ai dipendenti e a tutti i soggetti che, a vario titolo, sono incaricati a trattare i dati; successivamente quindi si procederà con la sottoscrizione del regolamento (per presa visione), da parte di ogni soggetto tenuto a rispettare il suddetto regolamento.
Poiché i dati personali trattati durante la prestazione lavorativa sono patrimonio aziendale e tutti gli strumenti informatici affidati ai dipendenti, sono strumenti di lavoro ogni utilizzo non inerente all’attività lavorativa può costituire una minaccia alla sicurezza (si pesi al caso limite in cui un dipendente, durante l’attività lavorativa decida di scaricare per finalità personali un file e che lo stesso contenga un virus che va a compromettere la struttura informatica aziendale); è quindi fondamentale che la persona autorizzata al trattamento sia ben consapevole che i dati personali e gli strumenti elettronici forniti sono di proprietà dell’azienda e devono essere utilizzati esclusivamente per lo svolgimento della prestazione lavorativa.
E-cons Srl è disponibile per affiancare il titolare del trattamento nella redazione dei regolamenti aziendali specifici per la propria realtà lavorativa e in applicazione del GDPR.
Ai sensi dell’art. 35 GDPR, la DPIA (Data Protection Impact Assessment, valutazione d’impatto sulla protezione dei dati personali), è necessaria quando l’elaborazione dei dati “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Tanto premesso quindi, il Titolare del trattamento prima di porre in essere un’attività che possa comportare dei rischi in relazione al trattamento dati, deve procedere con una valutazione sull’impatto che tale trattamento può avere sulla protezione dei dati stessi.
La DPIA basandosi su un’analisi preventiva dei pericoli e sulla valutazione del rischio che ne deriva, mira a garantire trasparenza sulle operazioni poste in essere sui dati personali raccolti ed al contempo consente l’adozione di misure di sicurezza che, in sua assenza, potrebbero non essere implementate fin dall’inizio non essendo ancora state valutate le eventuali minacce.
Ad oggi, il Garante italiano ha individuato dodici tipologie di trattamenti soggette ad obbligo di DPIA, peraltro non esaustivi:
1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che implicano la profilazione degli interessati nonché lo svolgimento di attività predittive, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”;
2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” sull’interessato (esempio assunzione, concessione del prestito, …), comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati (esempio videosorveglianza);
4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza);
5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. riconoscimento facciale; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; tracciamenti di prossimità come ad es. il wi-fi tracking);
8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse (esempio estratti del casellario giudiziale);
11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
Considerata la particolare delicatezza degli interessi in gioco, e-cons Srl è disponibile a seguire l’azienda cliente nell’intero progetto di elaborazione della DPIA.
Un sito internet aziendale richiede l’indicazione di alcune informazioni obbligatorie, alcune delle quali sono:
In relazione al trattamento dei dati personali che possono essere raccolti dal sito aziendale, sarà inoltre necessario procedere con l’inserimento di specifiche policy, come:
Particolari attenzioni poi sono richiesta da alcune sezioni talvolta presenti nei siti:
Per ciascuna di queste sezioni dovranno inoltre essere abbinate specifiche check box per il tracciamento.
Inoltre dovrà essere analizzato anche il protocollo di trasmissione convertendolo, laddove non sia già stato fatto, in HTTPS.
E-cons Srl è quindi disponibile a collaborare con la web-house dell’azienda cliente al fine di fornire le informazioni ed i documenti necessari alla regolarizzazione normativa del sito aziendale.
L’intero processo di adeguamento non si limita alla sola stesura dei documenti, ma una volta completati, i nostri consulenti saranno a disposizione per guidarvi nell’implementazione degli stessi all’interno dei processi aziendali.
Riceverai tanti informazioni utili per la sicurezza dei dati della tua impresa.