La gestione della Compliance Privacy pone diversi quesiti in merito alle metodologie da utilizzare per pervenire ai risultati richiesti. Inoltre il principio di Responsabilizzazione (Accountability), vera novità del Regolamento Europeo 2016/679 (GDPR) sposta sul Titolare del trattamento il peso della valutazione di adesione ai principi enunciati dalla norma.
Di seguito analizzeremo 5 importanti attività da implementare per aderire ai principi del GDPR e come GoPrivacy è in grado di offrire una soluzione.
1. Compliance Privacy: tenuta del Registro del Trattamento dati
Il Registro dei trattamenti non è solo un obbligo imposto dalla normativa, da conservare per eventuali controlli da parte dell’Autorità, ma uno strumento vivo da cui scaturiscono e prendono forma le altre attività di Compliance Privacy.
Senza conoscere i trattamenti posti in essere è estremamente complicato riuscire a dimostrare l’adeguata adesione ad un qualsiasi principio della normativa.
Sebbene siano differenti le modalità con cui è possibile costruire il registro dei trattamenti, GoPrivacy ha esteso questa attività rendendola parte di un processo che tiene conto sia delle informazioni richieste dall’articolo 30 del GDPR, sia di quelle necessarie per svolgere la valutazione dei rischi e la DPIA.
Il modulo di mappatura dei trattamenti di GoPrivacy è costantemente aggiornato con le ultime novità normative e consente di concentrare l’effort in un solo processo che renderà più flessibile ed efficiente lo svolgimento delle altre attività di Compliance Privacy.
Sarà inoltre possibile regolare l’accesso al registro a diversi profili di utente, gestire i registri di un Gruppo Imprenditoriale, conservare integralmente le precedenti versioni del registro a dimostrazione degli aggiornamenti svolti e molto altro ancora.
2. Valutazione dei Rischi e approccio basato sul Rischio del trattamento
L’articolo 32 del GDPR offre una nuova prospettiva in merito alla gestione della sicurezza del trattamento.
Non permette l’individuazione di misure “minime” di sicurezza identificate univocamente, bensì sposta sul Titolare e sul Responsabile (come del resto fa anche l’articolo 5 con il principio di responsabilizzazione), l’onere di individuare le “misure adeguate” al rischio.
Fin da subito si comprende come questa sia un’attività che non può nascere dall’improvvisazione.
Sono numerosi i metodi proposti per la gestione del rischio e per lo svolgimento della Valutazione dei rischi, GoPrivacy invece propone metodologie realizzate sulla base delle linee guida contenute nelle seguenti norme internazionali e best practice:
- ISO 31000:2018, Risk management – Guidelines.
- ISO/IEC 27001:2013, Information Technology – Security techniques – Information Security Management Systems- Requirement.
- ISO/IEC 29151:2017, Information technology – Security techniques – Code of practice for personally identifiable information protection
- ENISA: Guidelines for SMEs on the security of personal data processing (Dec. 2016)
Valori di Rischio Intrinseco, Attuale e Futuro
Questo approccio, permette di valutare in maniera approfondita la capacità di garantire su base permanente la Riservatezza, l’Integrità e la Disponibilità dei dati, attraverso un processo che si sviluppa in 10 fasi:
- Individuazione dei Trattamenti;
- Individuazione degli asset all’interno del perimetro del sistema (risorse attraverso cui transitano i dati personali);
- Categorizzazione degli asset;
- Collegamento dei trattamenti con i relativi asset;
- Valutazione del valore di impatto sulla sicurezza dei dati di un possibile evento negativo in cui sono coinvolti gli asset;
- Identificazione delle minacce che possono creare un problema di sicurezza;
- Attribuzione di un valore di probabilità alla minaccia;
- Individuazione delle contromisure che possono mitigare il rischio associato all’asset;
- Stima della validità del valore di implementazione di ogni contromisura;
- Valutazione dell’aspettativa di ogni trattamento in termini di Riservatezza, Integrità e Disponibilità;
Sono tre i valori di rischio che il modulo permette di calcolare:
- Intrinseco: rischio del trattamento in assenza di controlli;
- Attuale: rischio del trattamento sulla base dei controlli attualmente implementati;
- Futuro: rischio del trattamento sulla base dei controlli attualmente implementati e di quelli programmati per il futuro a seguito della creazione di un piano di trattamento di rischio;
Il modulo è dinamicamente integrato con le informazioni presenti all’interno del modulo dedicato al censimento e alla mappatura delle attività di trattamento.
3. Autorizzazione alle persone che svolgono i trattamenti (ex “incaricati”)
Autorizzare le persone che operano all’interno dell’organizzazione e svolgono materialmente le attività di trattamento è un adempimento essenziale per la reale “messa a terra” del processo di Compliance Privacy aziendale.
Solitamente, viene gestito tramite il conferimento di una lettera contenente le istruzioni fornite dal titolare e l’impegno al mantenimento della riservatezza in merito alle informazioni apprese durante il trattamento, sia durante il rapporto di lavoro/collaborazione che successivamente alla conclusione dello stesso.
Sebbene sia una pratica valida e comunemente svolta, essa risulta debole sia sul versante della dimostrazione della reale consapevolezza del dipendente (in merito ai trattamenti che è autorizzato a svolgere), che in quello del costante aggiornamento nel tempo delle istruzioni. GoPrivacy offre uno strumento semplice e flessibile, che viene generato automaticamente dal processo di censimento e mappature dei trattamenti sopra descritto: il Mansionario per le Persone Autorizzate.
Come detto, esso prende vita parallelamente al mantenimento del Registro dei Trattamenti.
Si tratta di un documento che esplicita per ogni funzione le istruzioni (che è sempre possibile aggiornare), l’elenco dei trattamenti assegnati e tutte le informazioni utili per conoscere e svolgere al meglio le informazioni (come i tipi di dati, la politica di conservazione e le operazioni consentite).
Il vantaggio principale?
Il documento è sempre allineato alle informazioni contenute nel registro rendendo possibile la creazione di numerose versioni da comunicare all’insieme di persone autorizzate, che saranno sempre aggiornate sui nuovi trattamenti svolti dalla loro unità e sulle nuove istruzioni fornite.
4. Mappatura dei Responsabili del trattamento e dei Sub-responsabili
Impostare, verificare costantemente e mantenere aggiornato l’elenco dei fornitori che forniscono servizi che presuppongono trattamenti di dati personali e per tale ragione contrattualizzati come Responsabili del trattamento (ex art. 28 del GDPR), è un’attività essenziale ma complicata da portare avanti.
Ancora più complessa è la gestione dei contratti e la mappatura dei trattamenti in cui sono coinvolti i diversi fornitori.
GoPrivacy dedica a questa figura diversi moduli e integrazioni del registro, tra cui:
- Il Registro delle terze parti: attraverso cui è possibile mappare il singolo fornitore e le informazioni inerenti al contratto (data di stipula, oggetto, tipi di dati, categorie di interessati ecc.) e contestualmente scaricare il relativo contratto;
- La possibilità di mappare i singoli fornitori (anche raggruppati in categorie) all’interno del modulo di Analisi dei Rischi e di valutarne il profilo di rischio;
- La possibilità di collegare il singolo trattamento a uno o più fornitori coinvolti, selezionandoli tra quelli mappati all’interno del Registro delle Terze parti;
Queste funzionalità sono attivate anche per la figura dei Sub-responsabili del trattamento, nel caso di gestione dei trattamenti di per sé svolti in qualità di Responsabile.
5. Sensibilizzazione delle risorse interne attraverso la formazione privacy
Per una gestione integrata della consapevolezza aziendale è importante assicurarsi che tutto il personale conosca i principi della normativa vigente in tema di protezione dei Dati Personali e che sia sensibilizzata sui principali attività e doveri.
Ad esempio, la gestione delle violazioni dei dati personali (c.d. Data Breach) e dell’esercizio dei diritti da parte dell’interessato.
A tal fine, GoPrivacy propone una serie di corsi certificati erogati in modalità E-learning (FAD) che permetteranno all’organizzazione di dimostrare una costante e diffusa sensibilizzazione sui principali temi privacy.
I corsi online sono comprensivi di test finale ed emissione di certificati di completamento nominativi. A questi moduli se ne affiancano altri erogati in aula.
Si tratta di 7 moduli dedicati alle attività di figure chiave come il DPO, l’ufficio Risorse Umane, l’ufficio Marketing, il team IT e gli Amministratori di Sistema.
Queste sono solo alcune delle problematiche che preoccupano maggiormente Titolari e Responsabili nelle loro attività quotidiane di gestione della Compliance Privacy aziendale alla normativa, e GoPrivacy offre ancora numerosi strumenti sottoposti a costante aggiornamento normativo. Scopri quali sono.