Il nuovo Regolamento UE sulla protezione dei dati personali 2016/679 (conosciuto come GDPR) prevede specifici adempimenti relativi alle persone autorizzate al trattamento sotto l’autorità dell’organizzazione, sia che agisca in qualità di Titolare che di Responsabile (vedi art 28,29 e 32 del GDPR).
Già il previgente Codice Privacy (D.lgs. 196/2003) che recepiva la direttiva europea 95/46/CE, prevedeva le figure degli “incaricati” (vedi art. 4 comma 1 lettera h – ora abrogato e art 30).
Tale impostazione rimane tuttora in vita con l’articolo 2-quaterdecies del Codice Privacy così come novellato dal D.lgs. 101/2018, il quale prevede la possibilità per Titolari e Responsabili di individuare compiti e funzioni specifici connessi al trattamento da attribuire a persone fisiche designate e lascia piena libertà alle modalità di autorizzazione delle persone che operano sotto la loro autorità.

Persone autorizzate al trattamento: gestione dinamica di mappatura, istruzioni, formazione e profili di rischio.

La centralità della persona autorizzata nel processo di trattamento, rende necessario gestire al meglio tutti gli adempimenti ad essa legati, considerandoli un fattore chiave dell’accountability aziendale.
GoPrivacy realizza tutto ciò in modo semplice, prevedendo diversi moduli per la gestione corrente delle diverse situazioni:

1) Mappatura:

il Codice Privacy previgente richiedeva la redazione della lista degli incaricati all’interno dell’ora abrogato Disciplinare tecnico in materia di misure minime di sicurezza al capitolo “Altre misure di sicurezza, regola 15.
Ancora oggi nel GDPR, al considerando 29 si legge: “[…] Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento.”.

La tenuta dell’elenco delle persone autorizzate è quindi:

  • da considerare come una misura di sicurezza organizzativa;
  • una espressa previsione di un considerando del GDPR;
  • un fattore di accountability;

GoPrivacy offre la possibilità, all’interno del modulo “mappatura dei trattamenti”, di collegare il/i trattamento/trattamenti alle singole persone autorizzate a svolgerlo.
E’ presente un collegamento con il relativo Registro delle persone autorizzate, che permette in modo semplice di tenere costantemente aggiornato l’elenco delle persone autorizzate.

2) Flussi di autorizzazione:

Attraverso GoPrivacy è possibile erogare e mantenere sempre aggiornate con il registro le istruzioni per le persone autorizzate, in due differenti modalità:

  • Lettera di autorizzazione nominativa collegata con il Registro delle persone autorizzate ed il Registro dei trattamenti (utile soprattutto alle PMI);
  • Mansionario per le persone autorizzate, che fornisce le istruzioni generali (valide per tutti i trattamenti) e le istruzioni specifiche per ogni singolo trattamento unitamente alle informazioni necessarie a creare consapevolezza.Utile ad esempio nei casi di medie/grandi aziende;

3) Profili di rischio:

il modulo di Valutazione dei rischi basato sulle normative ISO 31000, ISO 27001, ISO 29151, ISO 27701 ed ENISA, considera le Risorse Umane (persone autorizzate) come Asset specifici.
Per tali asset, sarà possibile valutare gli impatti, le minacce ad essi collegate (es. Ingegneria Sociale, Uso o amministrazione errata di dispositivi, ecc.) e le relative misure tecniche e organizzative di sicurezza implementate al fine di conoscerne e comprenderne i profili di rischio.  

 

4) Formazione delle persone autorizzate al trattamento:

GoPrivacy ospita al suo interno un modulo e-learning certificato ISO 9001 EA37 per l’erogazione di formazione in modalità FAD. Attraverso il “Corso Base sulla protezione dei dati personali” e il corso “Il Nuovo Codice PrivacyLe novità introdotte dal D.Lgs. 101/2018” l’organizzazione potrà strutturare un piano di formazione diffusa di cui le singole persone autorizzate potranno usufruire in modo flessibile. Il team di consulenti certificati Unolegal inoltre, organizza corsi di formazione in aula, anche presso il cliente.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.