Servizio GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è la nuova normativa europea che armonizza e supera le normative attualmente vigenti negli Stati facenti parte della Comunità Europea, punta a rafforzare e proteggere da minacce presenti e future i diritti alla protezione dei dati sensibili dei propri cittadini, dentro e fuori dall’Unione Europea. Il GDPR introduce nuovi obblighi e nuove sanzioni che impongono ad Enti ed Aziende l’adozione di specifiche misure per la protezione dei dati personali. Questo impone l’urgenza di indirizzare correttamente i propri investimenti verso adeguati strumenti informatici e procedurali al fine di ridurre il rischio di pesanti sanzioni pecuniarie e integrarli alle nuove polizze assicurative per la copertura degli eventuali danni propri e a terzi. C’è tempo fino al 25 maggio 2018!

Servizio GDPR


DB Informatic@ si propone come partner per la gestione del GDPR offrendo dei servizi legati al mondo IT:

Assessment iniziale

DB Informatic@ propone il servizio di Assessment Iniziale che si concretizza nella verifica della situazione in essere relativamente alle misure di sicurezza impiegate e agli adempimenti privacy adottati. Un tecnico DB Informatic@, in visita presso la vostra sede, si soffermerà in particolare sui seguenti punti:

  • disamina del contesto organizzativo, con:
    • analisi dell’attuale struttura organizzativa privacy,
    • analisi dei processi privacy,
    • identificazione degli asset e delle banche dati significative dal punto di vista privacy;
  • determinazione delle norme applicabili, con:
    • identificazione dei requisiti del GDPR applicabili al contesto dell’Ente/Azienda,
    • Identificazione dei provvedimenti e dei requisiti della normativa locale applicabili al contesto dell’Ente/Azienda;
  • disamina AS IS e Modello TO BE, con:
    • analisi del livello attuale di aderenza ai requisiti privacy applicabili (in particolare verifica stato di attuazione delle Misure Minime),
    • definizione del modello a tendere e del piano degli interventi di adeguamento.

Inventario (hardware e software)

DB Informatic@ propone il servizio di Inventario delle risorse attive, che permette all’Ente/Azienda di tenere aggiornato l’elenco delle risorse presenti sulla propria rete. Il servizio di inventario contempla le seguenti mansioni:

  • visita annuale da parte di un nostro tecnico per scansione, mediante apposito software, di tutti gli elaboratori collegati alla rete e ricognizione per inventariare attrezzature di rete e altri dispositivi non rilevabili tramite software. Durante tale visita saranno anche reperite le informazioni relative all’associazione “elaboratore – utente utilizzatore – ufficio di appartenenza”. Sarà altresì effettuato l’inventario del software installato sui dispositivi analizzati;
  • contatto telefonico per controllo eventuali modifiche intervenute durante il corso dell’anno e aggiornamento inventario;
  • fornitura di:
    • report aggiornato delle apparecchiature rilevate e degli indirizzi IP utilizzati;
    • stesura assieme a un referente interno dell’elenco dei software autorizzati
    • report con l’elenco dei software installati

Per garantire un costante aggiornamento dell’inventario, eventuali integrazioni, a seguito di sostituzione/variazione del personale, degli elaboratori o di altri apparati, dovranno essere comunicate a DB Informatic@ che provvederà all’aggiornamento dei dati entro lo specifico database. L’analisi dei report permetterà inoltre di segnalare la presenza di eventuali software installati, non rientranti nell’elenco dei software autorizzati.

Registro dei trattamenti e ausilio alla compilazione

Il Registro dei Trattamenti è una delle principali novità del GDPR. La predisposizione del medesimo non deve essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR. Difatti, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra le quali:

  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati;
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di “accountability”.

DB Informatic@ offre un servizio che permette all’organizzazione di generare e mantenere aggiornati i registri dei trattamenti come richiesto dal GDPR e mette a disposizione dei tecnici che daranno il supporto necessario alla loro compilazione.

Formazione

Il Nuovo Regolamento Europeo Privacy (GDPR) ha introdotto nuovi e specifici obblighi di formazione privacy in capo a tutti i Titolari del Trattamento e Responsabili del Trattamento. L’art. 32.4 del GDPR, dispone che chiunque “[…] abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]”. Da una semplice e veloce lettura, si evince chiaramente che il GDPR considera la formazione privacy una importante misura di sicurezza per la protezione dei dati personali, che deve essere obbligatoriamente adottata da tutti i Titolari del Trattamento e Responsabili del Trattamento.

DB Informatic@ propone un piano di formazione privacy che prevede dei corsi specifici, con svolgimento  in aula o in modalità e-learning, avvalendosi di personale docente specializzato in materia. Al termine del corso verrà somministrato a tutti i partecipanti un test finale di apprendimento al fine di poter dimostrare il raggiungimento degli obiettivi didattici e l’effettiva efficacia della formazione privacy, quale misura di sicurezza per la protezione dei dati personali.

DPO

Il data Protection Officer (DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR). È un professionista che deve avere competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Quando il GDPR impone l’obbligatorio nominare un DPO? Nei seguenti casi:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati.

Cosa dovrà farà il DPO secondo il GDPR? Il DPO avrà i seguenti compiti:

  1. informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. cooperare con l’autorità di controllo; e
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

DB Informatic@, nell’ambito dei servizi legati al tema privacy, offre il servizio esterno di DPO tramite figura di competenza riconosciuta.

Log Amministratori

Il provvedimento del Garante per la privacy del 27 novembre 2008, denominato Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, prevede, tra le altre, la registrazione dei log degli amministratori di sistema. Devono quindi essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.

DB Informatic@ fornisce un servizio di registrazione e archiviazione dei log conforme a quanto previsto dalla normativa. Il servizio consiste nella raccolta di tutti i log di sistema nella postazione server centralizzata. La tecnologia Agent-less permette di controllare l’intera rete senza installare versioni client o agent nei vari PC, inoltre, ogni nuovo PC inserito in rete, sarà automaticamente messo in lista per la raccolta. Perfettamente a norma con le direttive del garante nella legge sulla privacy, raccoglie, conserva e documenta tutti gli access-log della rete. I log, una volta raccolti, vengono conservati in un database e, automaticamente, documentati in file pdf criptabili.

Misure Minime

La direttiva del Presidente di Ministri del 1 agosto 2015 e la Circolare AgID n° 1 del 17 marzo 2017, pubblicata sulla Gazzetta Ufficiale del 4 aprile 2017, impongono alle pubbliche amministrazioni l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici. L’implementazione di tali standard deve essere documentata mediante la compilazione del relativo modulo di implementazione, (rif. Circolare AgID n° 2 del 18 aprile 2017), firmato digitalmente dal Responsabile dei Sistemi informativi (rif. art. 10 del D.Lgs. 12/02/1993 n. 39), ovvero, in sua assenza, dal Dirigente allo scopo designato e dal Legale rappresentante dell’Ente, con l’apposizione della marcatura temporale.

DB Informatic@ ha predisposto al riguardo un proprio servizio di supporto alle P.A. per la corretta compilazione della relativa documentazione.

Il servizio di implementazione delle misure minime di sicurezza necessita di uno stretto dialogo con l’amministratore del sistema informativo dell’Ente al fine di raccogliere tutte le informazioni imprescindibili alla compilazione del modello predisposto dall’AgID.

Rappresenta inoltre un primo passo di un processo di adeguamento più ampio che, come previsto dal GDPR (Regolamento Generale sulla Protezione dei Dati), coinvolge sia l’ambito ICT che quelli dei processi e delle risorse umane.

Il servizio “Modulo di implementazione” contempla le seguenti mansioni:

  • sottomissione questionari all’Amministratore del sistema informativo e reperimento delle risposte necessarie alla compilazione del modulo AgID;
  • analisi della documentazione di attestazione dell’avvenuta implementazione delle Misure minime di sicurezza.
  • stesura del documento denominato Modulo di implementazione delle misure minime di sicurezza della Pubblica Amministrazione come previsto dall’allegato 2 della suddetta circolare AgID e consegna in formato pdf;
  • ausilio alla firma del documento stesso e alla relativa marcatura temporale;
  • indicazione di eventuali misure minime standard non ancora adottate e che necessitano di una rapida adozione.

 

 


Contattaci

Compila il modulo sottostante per richiedere informazioni sui nostri prodotti o servizi.

Invia

CONSENSO AL TRATTAMENTO: cliccando sul pulsante “Invia” si ACCONSENTE, ai sensi dell’art 13 D.lgs. 196/2003, al trattamento dei propri dati e si DICHIARA di aver preso visione delle condizioni generali della Privacy.

Informazioni

DB Informatic@ S.r.l.
Via Matteotti, 19/C – 33028 Tolmezzo (UD)

Tel: +39.0433.2465
Email : commerciale@dbinfo.it