GDPR: Carta "canta" anche in digitale - SDPP-RSM 2024

Vai ai contenuti

Menu principale:

GDPR: Carta "canta" anche in digitale

AREA FORMAZIONE > DISPENSE FORMAZIONE > AUDIT GRC SPPD
GDPR: Impianto del Sistema e istruttorie degli adempimenti
Consolidare sempre meglio il testo normativo Reg.679/16 (di seguito Regolamento Privacy) e la conoscenza delle regole. Un obiettivo ambizioso indispensabile.
La privacy europea è e sarà perennemente evolutiva!


DOCUMENTAZIONE E CARTA "CANTA" ANCHE IN DIGITALE
La stesura di una documentazione per dimostrare la propria conformità alle regole possibile sia "Cartacea" che "Elettronica".



Il Manuale del Sistema Privacy o della Protezione dei Dati (o comunque lo vogliate chiamare), deve perlomeno avere i seguenti contenuti essenziali:

SOGGETTO "TITOLARE DEL TRATTAMENTO"

1) descrizione e precisazione dell'inqua dramento della società/ente
2) descrizione delle attività prevalenti e delle attività accessorie e delle loro ricadute quanto a trattamento dei dati
3) specificazione se i trattamenti sono effettuati su larga scala
4) specificazione se i trattamenti consistono in monitoraggio regolare e sistematico
5) individuazione dei tipi di dati, segnaIando in particolare se si trattano categorie particolari di dati
6) descrizione tipologia di trattamenti, in particolare si specifica se si tratta di decisioni automatizzate/profilazione; se si fanno trattamenti di dati derivati o inferenziali;
7) precisazione ambito territoriale dei trattamenti, con indicazione se si tratta di vendia di beni a servizi a persone nella UE o di monitoraggio delle persone all'interno della UE; se si tratti di trasferimento di dati all'estero.
8) precisazione categorie di interessati, in particolare di minori o di altre categorie di soggetti vulnerabili



INDICAZIONE DELLA NORMATIVA Dl RIFERIMENTO

1) riferimenti specifici delle Norme di legge del RGPD in generale e parti speciali del RGPD,
2) riferimenti specifici delle Decisioni della Commissione UE
3) riferimenti specifici delle Linee Guida dei Garanti Europei (WP 29, Comitato Europeo Protezione dati)
4) riferimenti specifici delle leggi nazionali e regolamenti
5) riferimenti specifici dei provvedimenti del Garante
6) riferimenti specifici dei codici di condotta di settore
7) riferimenti specifici a regolamenti interni, codici disciplinari, policy, ordini di servizio.

POLITICA DELLA PROTEZIONE DEI DATI

1) declaratorie sulle finalità della politica della protezione dei dati (ad. es. protezione minori, protezione clienti e utenti)
2) piani d'azione specifica di protezione dati (ad es. pianificazione pluriennale di adeguamento delle misure tecniche e organizzative; procedure conciliative in ipotesi di lesioni a persone, ecc.)
3) pianificazione iniziative ed eventi di sensibilizzazione dei dipendenti e dei clienti/utenti (convegni, campagne stampa, comunicazioni mirate, ecc.)
4) modalità di coinvolgimento interessati e loro organizzazioni (ad es. nella vaIutazione di impatto dei trattamenti, nella stesura di documenti informativi, nella verifica dell'efficacia e comprensibilità delle richieste dei consensi, nella verifica periodica della persistenza del consenso, ecc.)
5) evidenziare adempimenti aggiuntivi ed ulteriori rispetto allo standard normativo, ecc.



DISEGNO ORGANIGRAMMATICO PRIVACY

1) descrizione delle categorie di referenti interni
2) descrizione delle categorie di responsabili esterni
3) descrizione delle categorie di sub-responsabili esterni
4) descrizione delle categorie di autorizzati
5) modelli standard di contratti con responsabili esterni
6) modelli standard di contratti con sub responsabili esterni
7) modelli standard di designazione degli autorizzati.
8) descrizione delle categorie di contitolari del trattamento
9) modello standard di contratti con i contitolari di trattamento
10) modello standard di nomina del rappresentante nella UE.



AMBITI DI PROCEDURE E PRASSI PER ADEMPIMENTI E POLITICHE INTERNE
1) ufficio privacy (se creato formalmente)
2) attività e poteri DPO/RPD protocollo notificazioni e comunicazioni
3) DATA BREACH (pentest, VA, IDS/IPS)
4) Valutazione d'impatto privacy (DPIA: stesura, applicazione e audit)
5) Internet e posta elettronica e dispositivi di comunicazione da parte dei dipendenti e collaboratori
6) Rapporti con i clienti/utenti
7) Sicurezza con le prescrizioni per utenti/dipendenti (Disciplinare Interno)
8) ufficio reclami
9) esercizio dei diritti
10) valutazione dei rischi
11) rapporti con il Garante (condizionato se presente DPO)

MODELLI/MODULI PER ADEMPIMENTI VERSO INTERESSATI
1) fac simile delle informative
2) modelli di raccolta del consenso
3) modelli di risposta agli interessati
4) modello di comunicazione agli interessati della violazione dei dati
5) modello di richiesta della portabilità dei dati
6) modello di opposizione alla profilazione
7) modello di opposizione al trattamento
8) modello richiesta di accesso/rettificazione/limitazione del trattamento
9) modello generico richiesta di esercizio dei diritti.



CONTROLLO DELLE MISURE Dl SICUREZZA
1) documento di valutazione dei rischi valutazione di impatto privacy
2) procedure di verifiche dell'attuazione della valutazione dei rischi
3) procedure di verifiche dell'attuazione della valutazione di impatto privacy
4) piano di formazione del personale.



Quadro sinottico della documentazione in ragione dell'articolato e dei trattamenti

Mappa trattamenti (Art. 30) - Registro trattamenti
    • Compilare il registro trattamenti
    • Tenere aggiornato il registro trattamenti

Sicurezza: (Art. 32) Documento valutazione dei rischi

    • Compilare il documento valutazione dei rischi
    • Tenere aggiornato il documento valutazione
    • Esecuzione misure tecniche inserite nel documento
    • Esecuzione misure organizzative inserite nel documento
      • Controllo delle misure tecniche eseguite
      • Controllo delle misure organizzative eseguite


Sicurezza: (Art. 35) Documento Impatto Privacy
    • Verificare obbligo di compilazione
    • Chiedere parere DPO/RPD
    • Compilare il documento VIP
    • Tenere aggiornato il documento VIP
    • Esecuzione misure tecniche inserite nel documento
    • Esecuzione misure organizzative inserite nel documento
      • Controllo su misure tecniche eseguite
      • Controllo su misure organizzative eseguite



Sicurezza: (Art.
36)
Consultazione preventiva
    • Verificare obbligo di richiesta al Garante
    • Compilare la richiesta di parere
    • Esecuzione prescrizioni segnalate dal Garante
      • Controllo su prescrizioni eseguite

Sicurezza: (Art. 33,34) Procedure/prassi Data Breach
    • Individuazione ufficio responsabile
    • Compilazione protocollo di azioni (anche per i responsabili esterni)
    • Esecuzione misure tecniche e organizzative inserite nel protocollo
    • Verifica sussistenza cause di esonero Invio notificazioni (iniziali e integrative) al Garante
    • Esecuzioni prescrizioni del Garante
      • Invio comunicazioni agli interessati
      • Compilare e tenere aggiornato il registro dellaviolazione dei dati

Contitolari (Art. 26) Accordo contitolari
    • Stesura e sottoscrizione accordo di contitolarità
    • Esecuzione misure organizzative e tecniche previste dall'accordo
    • Previsione punto di contatto unico nei confronti degli interessati


Nomina responsabili esterni (Art. 28)
Contratto di responsabile esterno
    • Mappatura della esternalizzazione dei trattamenti
    • Compilazione contratti con responsabili esterni
    • Esecuzione misure normative, tecniche e organizzative previste nei contratti
    • Programmazione ed esecuzione controlli nei confronti del responsabile esterno
    • Verifica patto di riservatezza dei dipendenti del responsabile esterno
    • Per le esternalizzazioni a cavallo del 25/5/2018:
      • Verifica allineamento contratti in essere con I modello legale;
    • Per le esternalizzazioni a cavallo del 25/5/2018:
      • stesura modifiche e sottoscrizione clausole aggiuntive/sostitutive



Nomina sub-responsabili esterni (Art. 28)
Contratto con sub-responsabili

    • Mappatura della sub-esternalizzazione dei trattamenti
    • Stesura di apposite clausole nei contratti con responsabili esterni
    • Pianificazione ed esecuzione di procedure selettive previste nelle clausole contrattuali
    • Pianificazione ed esecuzione di controlli per il tramite del responsabile esterno


Nomina 'referenti interni", denominati (Art. 5)
Atto di nomina e disciplinare

    • Mappatura delle nomine esistenti e verifica del mantenimento di centri apicali interni
    • Stesura nuovi atti di nomina
    • Eventuale integrazione atti di nomina precedenti al Regolamento Privacy



Nomina autorizzati (Art. 29)
Nomina dipendenti e collaboratori
    • Mappatura delle posizioni di soggetti interni che trattano dati
    • Verifica e aggiornamento detia profilazione del personale interno
    • Mappatura delle nomine a "jncarjcato del trattamento" precedenti al Regolamento Privacy
    • Eventuale integrazione atti di nomina precedenti al Regolamento Privacy
    • Stesura nuovi atti di nomina ad "autorizzato al trattamento"


Formazione autorizzati (Art. 39)
    • Corsi base per autorizzati al trattamento
    • Corsi per livelli apicali
    • Corsi per RPD/DPO
    • Corsi specialistici per settori particolari (sanità,biometria, rapporti di lavoro, pubbliche amministrazioni, ecc.)



Rapporti con interessati (Artt. 12,13,14)
    • Informativa
      • Verifica informative esistenti
      • Adeguamento informative ai nuovi contenuti
      • Eventuale abbinamento delle informative a icone
      • Istituzione ufficio per risposte alle richieste degli interessati
      • Protocollo delle attività dell'ufficio "trasparenza'
    • Raccolta consensi (Artt. 6,7,8,9)
      • Verifica necessità del consenso
      • Predisposizione formule in linea con Reg.Privacy
      • Verifica consensi precedenti al Reg.Privacy
      • Adeguamento "vecchi" consensi
      • Cautele particolari in caso di minori età
      • Procedure per fa gestione delle revoche del consenso
  • Condizioni di liceità diverse dal consenso (Artt. 6,9)
      • Verifica condizioni di liceità
      • Predisposizione cautele in linea con Reg.Privacy
      • Verifica cautele precedenti al Reg.Privacy
      • Adeguamento "vecchie" cautele
  • Legittimo interesse (trattamenti con uso di nuove tecnologie e strumenti automatizzati)
      • Verifica presupposti del legittimo interesse
      • Invio informativa al Garante (legge 205/2017, art. 1, comma 1022)
      • Riscontro a richieste istruttorie del Garante (legge 205/2017, art. 1, comma 1023)
      • Esecuzione prescrizioni del Garante (legge 205/2017, art. 1, comma 1021, 1022 e 1023)


RPD/DPO Artt. 37,38,39)
    • Nomina RPD/DPO policy interna
      • Verifica obbligo/opportunità nomina
      • Scelta tra dipendente oppure professionista/organizzazione esterna
      • Stesura e sottoscrizione contratto
      • Comunicazione al Garante di avvenuta nomina del RPD/DPO
      • Esecuzione misure previste nel contratto
      • Istituzione di ufficio del RPD/DPO
      • Istituzione di punto di contatto del RPD/DPO con interessati



Trasferimenti dati estero - Extra UE (Artt. 44-50)
    • Condizione di liceità
      • Verifica e rispetto condizione di liceità (ad es. BCR, Codici Condotta/Certificazione/Clausole Contrattuali/ Consenso/ Legittimo Interesse
      • Stesura documenti/contratti in base alla condizione di liceità applicabile
      • Esecuzione cautele imposte dal Garante o dal contratto o dalle altre condizioni di liceità
      • Verifica trasferimenti dati fuori UE a cavallo del 25/5/2018 ed eventuale allineamento al Reg. Privacy


Certificazioni  (Artt. 42,43)
    • Certificazione
      • Acquisizione certificazione
      • Esecuzione misure di mantenimento

Codice di condotta (Artt. 40,41)
    • Codice di condotta
      • Adesione a codice di condotta
      • Esecuzione misure di mantenimento











Torna ai contenuti | Torna al menu