Servizi e Software GDPR

Il nuovo Regolamento europeo sulla protezione dei dati personali introduce importanti novità anche per gli Enti. La nuova disciplina impone un diverso approccio la cui responsabilità ultima cade sul titolare del trattamento, figura che negli Enti locali è ricoperta dal Sindaco.

 

 

 

I Servizi GDPR in outsourcing per l’esecuzione delle attività necessarie per essere in regola con la normativa europea in materia di protezione dei dati.

Due i livelli di servizio offerto:

1. A Distanza – Servizio Privacy Check

Il servizio prevede la compilazione di un breve questionario, l’analisi della documentazione richiesta, la valutazione degli adempimenti privacy effettivamente realizzati dall’ente fino ad oggi e la realizzazione di un piano operativo delle attività necessario per essere in regola con il Regolamento Europeo 2016/679 entro il 25.05.2018.
Il documento di sintesi rilasciato conterrà l’indicazione delle principali criticità, delle attività da implementare, dei tempi e costi dell’intervento, se affidato a Maggioli.

2. Onsite – Servizio Privacy Full

Il servizio prevede l’analisi delle misure e delle metodologie tecniche e gestionali che l’ente adotta nel trattamento dei dati inerenti a:
– attività istituzionali;
– attività svolte presso sedi operative gestite direttamente dall’ente (case di riposo, musei, asili, scuole, ecc);
– impianti di videosorveglianza;
– verifica adeguatezza del sito web.

Saranno realizzati sopralluoghi conoscitivi presso l’ente e riunioni per la creazione del gruppo di lavoro (responsabili della segreteria, del personale, del CED, della polizia municipale ecc.). Verranno poi eseguiti eventuali audit con i fornitori, sia presso la sede dell’ente che eventualmente presso le loro sedi.

CRONOLOGIA TEMPORALE E STEP OPERATIVI DEL SERVIZIO
Fase 1) Acquisizione delle informazioni
Il servizio prevede lo svolgimento delle seguenti attività con la cronologia indicata:
a) Mappatura degli archivi elettronici, web e cartacei, individuazione e definizione degli schemi di trattamento dei dati rispetto alle singole unità di archiviazione;
b) Verifica della liceità dei trattamenti, delle modalità tecniche e delle misure di protezione adottate;
c) Individuazione dei soggetti interessati al trattamento (utenti, cittadini – persone fisiche e referenti delle persone giuridiche, dipendenti/collaboratori, fornitori, etc.);
d) Individuazione delle figure gerarchiche di responsabilità quali: – titolare del trattamento/responsabile del trattamento; – affidatari esterni e/o cotitolari; – responsabili esterni del trattamento/clausole per l’affidamento di servizi esternalizzati; – amministratori di sistema; – incaricati al trattamento; – fornitori di servizi esterni – verifica ed eventuale integrazioni nella contrattualistica; – trattamenti dati intra/extra UE.

Fase 2) Elaborazione dei documenti
1) stesura delle informative per il trattamento dei dati;
2) verifica dei requisiti dei fornitori di servizi per i quali vi è un trattamento (e/o implementazione di misure di protezione dei dati) e stesura delle clausole contrattuali minime per garantire adeguata protezione dei dati;
3) stesura del registro dei trattamenti – NUOVO adempimento richiesto dal Regolamento Europeo 2016/679;
4) revisione dell’analisi dei rischi che incombono sui dati – NUOVO adempimento richiesto dal Regolamento Europeo 2016/679;
5) verifica dell’applicazione delle “misure minime” di sicurezza (ex allegato B D.Lgs. n. 196/03) e individuazione di ulteriori misure “adeguate” – NUOVO adempimento richiesto dal Regolamento Europeo;
6) definizione delle modalità di gestione degli adempimenti relativi al Provvedimento a carattere generale del Garante per la protezione dei
dati personali inerenti alla figura dell’Amministratore di sistema;
7) verifica del sito internet ed implementazione adempimenti conseguenti (indicazioni delle modalità e testi per le informative, cookie law, privacy policy, form di raccolta dati ecc);
8) verifica delle modalità di gestione inerenti a videosorveglianza, trasparenza, regolamenti, geolocalizzazione, dati biometrici;
9) eventuali integrazioni di aspetti giuslavoristici inerenti all’utilizzo degli strumenti di lavoro aziendali in affidamento al personale dipendente;
10) verifica ed eventuale integrazione del Regolamento per il trattamento dei dati personali sensibili e giudiziari;
11) adempimenti per il trattamento dati nell’ambito dell’erogazione dei servizi socio-sanitari.

ALTRI SERVIZI AGGIUNTIVI

A seconda delle esigenze dell’ente è possibile richiedere i seguenti servizi integrativi:

  1. Assunzione del ruolo di Responsabile per la protezione dei dati personali (DPO) – NUOVO adempimento richiesto dal Regolamento Europeo 2016/679;
  2. Verifica per l’attuazione dei livelli di sicurezza in merito alle “misure minime per la sicurezza ICT” emanate dall’AGID (Agenzia dell’Italia Digitale) in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri;
  3. Audit periodici di verifica dell’adozione delle misure predisposte;
  4. Formazione degli operatori incaricati e responsabili con rilascio di attestato di partecipazione;
  5. Affiancamento all’ente in sede di verifiche o ispezioni del Garante.

Il software GDPR per elaborare tutti gli adempimenti imposti dal nuovo Regolamento Europeo, compresa la creazione del registro del trattamento in capo al titolare e a tutti i responsabili.

IL SOFTWARE PREVEDE LE SEGUENTI FUNZIONALITÀ:
»» Analisi del rischio: mappatura trattamenti precaricata. Contiene l’elenco dei processi/attività dell’Ente (circa 750) raggruppati in circa 70 indici di trattamento che presentano rischi analoghi in termini di natura, ambito di applicazione, contesto, finalità e rischi.
»» Analisi del rischio: mappatura, struttura organizzativa, soggetti, luoghi e risorse. Consente di generare e tenere costantemente aggiornate le Mappe/Elenchi della struttura organizzativa, dei soggetti e delle relative responsabilità e profilazioni, dei luoghi e delle risorse.
»» Valutazione del rischio: valutazione, preliminare precaricata. Per ogni trattamento è già precaricata la determinazione preliminare della possibilità che il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persobne fisiche, effettuata sulla base dei criteri previsti dalle linee guida, con formazione dell’elenco dei trattamenti da sottoporre a DPIA (valutazione d’impatto).
»» Valutazione del rischio: DPIA precaricata con le seguenti informazioni: descrizione sistematica del contesto, valutazione della necessità e proporzionalità dei trattamenti, valutazione dei rischi per i diritti e le libertà degli interessati, individuazione delle misure previste per affrontare ed attenuare i rischi, monitoraggio e riesame.
»» Trattamento del rischio: registro dei trattamenti compilato e costantemente aggiornato. Oltre alle informazioni obbligatorie elencate consente di inserire nel registro ulteriori informazioni che il titolare intende evidenziare:
— Descrizione e del flusso informativo
— Finalità
— Categoria di dati/interessati/destinatari
— Misure di sicurezza tecniche logistiche ed informatiche
— Misure di sicurezza organizzative e procedurali.

Vuoi maggiori informazioni? Clicca qui
Oppure chiamaci al Tel. 0541/628380