Servizio GDPR

Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa europea in materia di protezione dei dati. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.

Il GDPR nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta agli sviluppi tecnologici tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini. Impone inoltre dei processi di controllo e verifica di tutte quelle attività che in qualche modo riguardano la protezione del patrimonio informativo e di tutela delle informazioni dei singoli soggetti.

Il regolamento pone l’accento sul principio della trasparenza, in un’ottica di rispetto della finalità. Occorre valutare attentamente gli scopi del trattamento, in modo da stabilire correttamente quali dati possono essere trattati e quali no (principio di essenzialità dei dati). Altresì, il regolamento europeo prevede una serie di obblighi proattivi, a dimostrazione della concreta, e non meramente formale adozione del regolamento stesso. In tale ottica la predisposizione e l’aggiornamento della documentazione è essenziale, in quanto indice di corretta implementazione delle norme:

–           documentazione attestante i trattamenti svolti (registro dei trattamenti);

–           documentazione attestante il rispetto dei diritti degli interessati (informative, moduli raccolta consenso);

–           documentazione di ripartizione ruoli e responsabilità (contratti

Il GDPR all’articolo 37, inoltre, prevede l’obbligo della nomina di un DPO (Data Protection Officer), ovvero la figura di un Responsabile del Trattamento dei Dati, nel caso in cui l’organizzazione sia “un’autorità pubblica o da un organismo pubblico”.

A fianco della normativa europea vi sono inoltre anche diverse norme italiane a cui attenersi, decreti, regolamenti, codici di condotta e provvedimenti ci impongono una stretta sorveglianza su tutti gli aspetti legati alla gestione e al controllo della privacy. Primo tra tutti il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

DB Informatic@ offre un servizio completo, che tiene conto dei diversi aspetti legati alla normativa, affianca in modo collaborativo il DPO designato e mantiene aggiornata la documentazione necessaria a rispondere alla norma vigente.

REGISTRO DEI TRATTAMENTI

Il Registro dei Trattamenti è una delle principali novità del GDPR. La predisposizione del medesimo non deve essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR. Difatti, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra le quali:

  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati;
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di “accountability”.

DB Informatic@ offre un servizio che permette all’organizzazione di generare e mantenere aggiornati i registri dei trattamenti come richiesto dalla normativa e mette a disposizione dei tecnici che daranno il supporto necessario alla loro compilazione.

In base alle proprie esigenze è possibile scegliere tra la semplice istituzione del registro, che permetterà di collegarsi autonomamente al portale e provvedere in autonomia alla compilazione e al mantenimento, oppure un servizio completo in cui sarà DB Informatic@ a compilare e mantenere aggiornato il registro in accordo con il committente e il DPO designato.

REGISTRO DELLE VIOLAZIONI

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Il titolare del trattamento, senza ingiustificato ritardo, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. In ogni caso il titolare deve documentare tutte le violazioni dei dati personali, predisponendo un apposito registro che tenga traccia delle violazioni subite e consenta all’Autorità di effettuare eventuali verifiche.

Come risulta chiaro da una lettura attenta dell’Art. 33.5 del Reg. EU 679/2016 “Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”. La tenuta obbligatoria del registro è sottolineata anche dalle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679” adottate il 3 ottobre 2017 – versione emendata e adottata il 6 febbraio 2018 al capitolo “Responsabilizzazione e tenuta di registri”.

DB Informatic@ incorpora nel suo servizio anche l’istituzione di un Registro, sviluppato basandone struttura e funzionalità su quanto previsto dalle norme, nonché sulle indicazioni dell’Autorità Garante per la protezione dei dati personali, e offre il supporto alla compilazione nel caso in cui si verifichi una violazione. Il Tool è pensato per aiutare le organizzazioni ad adempiere alle obbligazioni del GDPR della tenuta del “Registro delle Violazioni”, rendendo semplice e sicuro il mantenimento e la compilazione. Il “Registro delle Violazioni” è dunque, anche, uno strumento propedeutico per la corretta compilazione e gestione di una segnalazione di un Data Breach, oltre che strumento fondamentale per la Compliance della propria struttura.

MISURE MINIME

Le misure minime di sicurezza ICT emanate dall’AgID, sono un riferimento pratico per valutare e migliorare il livello di sicurezza informatica delle amministrazioni, al fine di contrastare le minacce informatiche più frequenti. La direttiva del Presidente di Ministri del 1 agosto 2015 e la Circolare AgID n° 1 del 17 marzo 2017, pubblicata sulla Gazzetta Ufficiale del 4 aprile 2017, impongono alle pubbliche amministrazioni l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici. L’implementazione di tali standard deve essere documentata mediante la compilazione del relativo modulo di implementazione, (rif. Circolare AgID n° 2 del 18 aprile 2017), firmato digitalmente dal Responsabile dei Sistemi informativi (rif. art. 10 del D.Lgs. 12/02/1993 n. 39), ovvero, in sua assenza, dal Dirigente allo scopo designato e dal Legale rappresentante dell’Ente, con l’apposizione della marcatura temporale.

DB Informatic@ ha predisposto al riguardo un proprio servizio di supporto alle P.A. per la corretta compilazione della relativa documentazione.

Il servizio di implementazione delle misure minime di sicurezza necessita di uno stretto dialogo con l’amministratore del sistema informativo dell’Ente al fine di raccogliere tutte le informazioni imprescindibili alla compilazione del modello predisposto dall’AgID.

Rappresenta inoltre un primo passo di un processo di adeguamento più ampio che, come previsto dal GDPR (Regolamento Generale sulla Protezione dei Dati), coinvolge sia l’ambito ICT che quelli dei processi e delle risorse umane.

Il servizio “Modulo di implementazione” contempla le seguenti mansioni:

  • sottomissione questionari all’Amministratore del sistema informativo e reperimento delle risposte necessarie alla compilazione del modulo AgID;
  • analisi della documentazione di attestazione dell’avvenuta implementazione delle Misure minime di sicurezza.
  • stesura del documento denominato Modulo di implementazione delle misure minime di sicurezza della Pubblica Amministrazione come previsto dall’allegato 2 della suddetta circolare AgID e consegna in formato pdf;
  • ausilio alla firma del documento stesso e alla relativa marcatura temporale;

indicazione di eventuali misure minime standard non ancora adottate e che necessitano di una rapida adozione.

INVENTARIO

L’ABSC 1 (CSC 1) contenuto nel Modulo di implementazione delle Misure Minime, come da Circolare AgID n° 1 del 17 marzo 2017, richiede, quale misura di livello minimo, l’implementare di un inventario delle risorse attive e di gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi, registrando almeno l’indirizzo IP. L’ABSC 2 (CSC 2) richiede inoltro di stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi.

Pertanto, per adempiere a quanto richiesto, è necessario stilare un inventario, il più possibile aggiornato, delle risorse attive, sia hardware che software.

DB Informatic@ propone il servizio di Inventario delle risorse attive, che permette all’Ente di tenere aggiornato l’elenco delle risorse (sia hardware che software) presenti sulla propria rete.

Il servizio di inventario contempla le seguenti mansioni:

  • installazione di un tool di scansione che permette di avere in tempo reale sia le macchine presenti sulla rete che i software in esse installati;
  • contatto telefonico semestrale per controllo eventuali modifiche intervenute durante il corso dell’anno e aggiornamento inventario;
  • fornitura di:
    • report aggiornato delle apparecchiature rilevate e degli indirizzi IP utilizzati;
    • stesura assieme a un referente interno dell’elenco dei software autorizzati,
    • report con l’elenco dei software installati.

Per garantire un costante aggiornamento dell’inventario, eventuali integrazioni, a seguito di sostituzione/variazione del personale, degli elaboratori o di altri apparati, dovranno essere comunicate a DB Informatic@ che provvederà all’aggiornamento dei dati entro lo specifico database.

  • ausilio alla firma del documento stesso e alla relativa marcatura temporale;
  • indicazione di eventuali misure minime standard non ancora adottate e che necessitano di una rapida adozione.

CONSULENZA

Il Regolamento Europeo impone al titolare del trattamento dei dati di fornire all’interessato, mediante idonea informativa, tutte le informazioni necessaria a fargli comprendere come i suoi dati verranno trattati. Il contenuto di tale informativa deve essere conciso, trasparente, intelligibile, facilmente accessibile, semplice e chiaro. La norma impone inoltre che vengano effettuate le nomine formali a tutti i responsabili esterni del trattamento dei dati. Va posta massima attenzione sulle figure degli outsourcer per i quali è necessario verificare le deleghe di responsabilità e la verifica delle adeguate garanzie. Inoltre è necessario che vengano fatte le designazioni degli incaricati al trattamento.

DB Informatic@ offre la sua esperienza, in partnership con consulenti qualificati, per supportare l’Ente nella verifica della documentazione, se già presente, o nella stesura delle parti mancanti. Inoltre offre un servizio di affiancamento e collaborazione al DPO designato con il quale mira ad instaurare un rapporto di proficuo e sinergico lavoro.

LOG AMMINISTRATORI DI SISTEMA

Il provvedimento del Garante per la privacy del 27 novembre 2008, denominato Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, prevede, tra le altre, la registrazione dei log degli amministratori di sistema. Devono quindi essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.

DB Informatic@ fornisce un servizio di registrazione e archiviazione dei log conforme a quanto previsto dalla normativa. Il servizio consiste nella raccolta di tutti i log di sistema nella postazione server centralizzata. La tecnologia Agent-less permette di controllare l’intera rete senza installare versioni client o agent nei vari PC, inoltre, ogni nuovo PC inserito in rete, sarà automaticamente messo in lista per la raccolta. Perfettamente a norma con le direttive del garante nella legge sulla privacy, raccoglie, conserva e documenta tutti gli access-log della rete. I log, una volta raccolti, vengono conservati in un database e, automaticamente, documentati in file pdf criptabili.


Contattaci

Compila il modulo sottostante per richiedere informazioni sui nostri prodotti o servizi.

Invia

CONSENSO AL TRATTAMENTO: cliccando sul pulsante “Invia” si ACCONSENTE, ai sensi dell’art 13 D.lgs. 196/2003, al trattamento dei propri dati e si DICHIARA di aver preso visione delle condizioni generali della Privacy.

Informazioni

DB Informatic@ S.r.l.
Via Matteotti, 19/C – 33028 Tolmezzo (UD)

Tel: +39.0433.2465
Email : commerciale@dbinfo.it