Servizi di consulenza privacy e Data Protection Officer
Ti aiutiamo ad adempiere agli obblighi del nuovo regolamento privacy "GDPR"
Privacy e Security Governance sono sempre più convergenti
L'attuale scenario normativo e tecnologico impone ad aziende ed amministrazioni una gestione sempre più vasta dei processi riguardanti il trattamento dei dati personali.
Entro il 2020, grazie anche alla quinta generazione di telecomunicazioni mobili (5G) opereremo in un mercato iperconnesso in cui sicurezza, privacy e connettività dovranno trovare un comune denominatore che garantisca conformità, efficienza gestionale ed efficacia operativa.
Il DPO nella nuova normativa GDPR
Ruolo di supporto per le aziende negli adempimenti privacy
I DPO sono responsabili della formazione dell'azienda e dei suoi dipendenti su importanti requisiti di conformità, formazione del personale coinvolto nell'elaborazione dei dati e svolgimento di verifiche di sicurezza periodiche. I DPO fungono anche da punto di contatto tra la società e le eventuali autorità di vigilanza (In Italia, il Garante per la Protezione dei Dati Personali) che sovrintendono alle attività relative ai dati.
Come indicato nell'articolo 39 del GDPR, le responsabilità del DPO (o RPD) comprendono, ma non sono limitate a, le seguenti:
1. Educare l'azienda e i dipendenti su importanti requisiti di conformità;
2. Formare il personale coinvolto nell'elaborazione dei dati;
3. Effettuare audit periodici per verificare la conformità e affrontare le potenziali problematiche in modo proattivo;
4. Offrirsi come punto di contatto tra l'azienda e le autorità di vigilanza;
5. Monitorare le prestazioni e fornire consulenza;
6. Mantenere il registro dei trattamenti, traccia tutte le attività di elaborazione dei dati personali condotte dall'ente, compreso lo scopo di tutte le attività di trattamento, che devono essere comunicate su richiesta alle autorità di vigilanza;
7. Interfacciarsi con le persone interessate per informarli su come vengono utilizzati i loro dati, i loro diritti di cancellazione dei loro dati personali e quali misure ha messo in atto per tutelare le loro informazioni personali.
Il DPO al fianco dell'amministratore di sistema
Per l'azienda strutturata e la pubblica amministrazione
La figura dell’amministratore di sistema è rimasta piuttosto ambigua tra una revisione normativa e l’altra: anche la stessa definizione del suo ruolo può generare perplessità. A delinearne inizialmente le caratteristiche sono le prime grandi leggi in materia di protezione dei dati personali alla fine degli anni '90. Successivamente la figura viene trascurata parzialmente nel Codice Privacy del 2003, per poi essere ripresa con i provvedimenti del Garante del 2008 e 2009 e di nuovo ufficialmente non definita, ma di fatto richiamata implicitamente dal GDPR.
Riprendendo il Provvedimento del Garante del 2008, viene fornita un'importante ed ufficiale prima definizione del ruolo concernente l’amministratore di sistema:
Con la definizione di amministratore di sistema si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
La figura, è stato espressamente specificato, deve operare con carattere continuativo sui sistemi informatici per i quali è incaricata della manutenzione. Non rientrano quindi nel ruolo di amministratore di sistema tutte quelle "costellazioni" di fornitori esterni che occasionalmente si occupano di configurazioni e interventi di riparazione.
Il lavoro congiunto di DPO e Amministratore di Sistema è essenziale ai fini della costruzione di un corretto modello organizzativo finalizzato al trattamento dei dati personali. Per le pubbliche amministrazioni, l'AdS è responsabile della corretta applicazione delle misure minime di sicurezza, una checklist di oltre 40 punti a carattere strettamente tecnico, che elenca tutte le misure di sicurezza obbligatorie in ambito informatico e telematico.
Le misure minime di sicurezza sono tra l'altro state richiamate, in forma estremamente sintetica, dall'art. 32 del GDPR, il quale menziona apertamente la necessità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
Il GDPR è il primo a parlare, anche se in forma sintetica, dei principi base del disaster recovery.