Il 14 aprile 2016 il Parlamento e il Consiglio Europeo hanno approvato in via definitiva il Regolamento in materia di protezione dei dati personali (cd. GDPR), entrato in vigore il 25 Maggio 2016. Decorso un periodo di transizione, pari a due anni, dal 25 Maggio 2018 le disposizioni in esso contenute saranno direttamente applicabili in tutta l’Unione Europea.
Le principali novità attese sono ricondotte a 5 ambiti, che potrebbero impattare diverse variabili organizzative:
- Valutazione preventiva dell’impatto dei trattamenti sulla protezione dei dati di Privacy.
- Incorporazione della Privacy fin dalla progettazione del processo e trattamento dei soli dati personali necessari per raggiungere la finalità specifica preposta.
- Riconoscimento di specifici diritti dell’interessato tra cui la portabilità e l’oblio.
- Nomina di un Responsabile della Protezione dei Dati (cd Data Protection Officer - DPO) per il monitoraggio del trattamento dei dati personali.
- Disciplina delle azioni da implementare in caso di violazione dei dati personali per segnalare le violazioni alle autorità competenti e all’interessato.
Il DPO deve essere:
Esperto nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, affinché questi siano trattati in modo lecito e pertinente;
Idoneo a progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo con i sistemi di gestione aziendali, per curare l'adozione di misure minime di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge. (Art.37-Regolamento GDPR).
Tema fornisce al Titolare del trattamento un valido supporto per effettuare la valutazione di impatto sulla protezione dei dati (cd. DPIA).
In particolare tale supporto fornisce una completa e motivata valutazione circa:
- l’opportunità condurre o meno una DPIA;
- la scelta della metodologia da adottare nella conduzione del DPIA;
- l’opportunità di condurre la DPIA con le risorse interne ovvero esternalizzandola;
- le salvaguardie da applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
- la conformità delle conclusioni a quanto richiesto dal RGPD.
Gap Analysis GDPR
Realizzazione documenti di policy e standard aziendali:
- Policy di sicurezza informatica
- Standard di data governance
Realizzazione documenti per la gestione e lo sviluppo di:
- Procedura di gestione dei cambiamenti
- Procedura di gestione degli incidenti
Realizzazione rapporti inerenti alle valutazioni aziendali:
- Documento di sintesi su Privacy by default e Privacy by design
- Documento di sintesi sulla situazione del rischio informatico
Realizzazione Piano di continuità operativa.
Survey/Checkup GDPR, conformità con le norme interne ed esterne:
- Contratti e SLA con gli Outsourcer
- Tecnologie hardware e software – policy - procedure - processi I&CT, operativi e di controllo
- Sicurezza informatica: risorse, informazioni e applicazioni
- Dematerializzazione documenti
- Postalizzazione rendiconti, ecc.
- Definizione processi di protocollazione, di archiviazione e di postalizzazione informazioni/documenti
- Definizione processo di conservazione sostitutiva
- Realizzazione della documentazione necessaria da inoltrare al “garante della privacy” per la gestione della firma grafometrica
- Definizione e realizzazione del piano di esternalizzazione delle tecnologie, hardware e software, nel “cloud” ovvero nel VPCC – Virtual Private Cloud Centrico – multi_site
- Service management del patrimonio I&CT