Il nuovo Regolamento UE sulla protezione dei dati personali 2016/679 (conosciuto come GDPR) prevede specifici adempimenti relativi alle persone autorizzate al trattamento sotto l’autorità dell’organizzazione, sia che agisca in qualità di Titolare che di Responsabile (vedi art 28,29 e 32 del GDPR).
Già il previgente Codice Privacy (D.lgs. 196/2003) che recepiva la direttiva europea 95/46/CE, prevedeva le figure degli “incaricati” (vedi art. 4 comma 1 lettera h – ora abrogato e art 30).
Tale impostazione rimane tuttora in vita con l’articolo 2-quaterdecies del Codice Privacy così come novellato dal D.lgs. 101/2018, il quale prevede la possibilità per Titolari e Responsabili di individuare compiti e funzioni specifici connessi al trattamento da attribuire a persone fisiche designate e lascia piena libertà alle modalità di autorizzazione delle persone che operano sotto la loro autorità.

 

Persone autorizzate al trattamento: gestione dinamica di mappatura, istruzioni, formazione e profili di rischio.

La centralità della persona autorizzata nel processo di trattamento, rende necessario gestire al meglio tutti gli adempimenti ad essa legati, considerandoli un fattore chiave dell’accountability aziendale.
GoPrivacy realizza tutto ciò in modo semplice, prevedendo diversi moduli per la gestione corrente delle diverse situazioni:

 

1) Mappatura:

il Codice Privacy previgente richiedeva la redazione della lista degli incaricati all’interno dell’ora abrogato Disciplinare tecnico in materia di misure minime di sicurezza al capitolo “Altre misure di sicurezza, regola 15.
Ancora oggi nel GDPR, al considerando 29 si legge: “[…] Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento.”.

La tenuta dell’elenco delle persone autorizzate è quindi:

  • da considerare come una misura di sicurezza organizzativa;
  • una espressa previsione di un considerando del GDPR;
  • un fattore di accountability;

GoPrivacy offre la possibilità, all’interno del modulo “mappatura dei trattamenti”, di collegare il/i trattamento/trattamenti alle singole persone autorizzate a svolgerlo.
E’ presente un collegamento con il relativo Registro delle persone autorizzate, che permette in modo semplice di tenere costantemente aggiornato l’elenco delle persone autorizzate.  

 

2) Flussi di autorizzazione:

Attraverso GoPrivacy è possibile erogare e mantenere sempre aggiornate con il registro le istruzioni per le persone autorizzate, in due differenti modalità:

  • Lettera di autorizzazione nominativa collegata con il Registro delle persone autorizzate ed il Registro dei trattamenti (utile soprattutto alle PMI);
  • Mansionario per le persone autorizzate, che fornisce le istruzioni generali (valide per tutti i trattamenti) e le istruzioni specifiche per ogni singolo trattamento unitamente alle informazioni necessarie a creare consapevolezza.Utile ad esempio nei casi di medie/grandi aziende;

 

3) Profili di rischio:

il modulo di Valutazione dei rischi basato sulle normative ISO 31000, ISO 27001, ISO 29151, ISO 27701 ed ENISA, considera le Risorse Umane (persone autorizzate) come Asset specifici.
Per tali asset, sarà possibile valutare gli impatti, le minacce ad essi collegate (es. Ingegneria Sociale, Uso o amministrazione errata di dispositivi, ecc.) e le relative misure tecniche e organizzative di sicurezza implementate al fine di conoscerne e comprenderne i profili di rischio.  

 

4) Formazione delle persone autorizzate al trattamento:

GoPrivacy ospita al suo interno un modulo e-learning certificato ISO 9001 EA37 per l’erogazione di formazione in modalità FAD. Attraverso il “Corso Base sulla protezione dei dati personali” e il corso “Il Nuovo Codice PrivacyLe novità introdotte dal D.Lgs. 101/2018” l’organizzazione potrà strutturare un piano di formazione diffusa di cui le singole persone autorizzate potranno usufruire in modo flessibile. Il team di consulenti certificati Unolegal inoltre, organizza corsi di formazione in aula, anche presso il cliente.        

Go Privacy software gestionale privacy