protezione efficace dei dati

“I tuoi dati sono un tesoro”: il video del Garante che emoziona e fa riflettere

La campagna di sensibilizzazione e formazione del Garante per la privacy è un video emozionante, chiaro e comprensibile che mette in risalto la vulnerabilità di ogni singolo.

Il video del Garante per la privacy “I tuoi dati sono un tesoro”: https://youtu.be/DxQEk_G5gfU

La protezione dei dati personali non è soltanto un compito per le aziende e autorità, ma riguarda tutti. In questi ultimi tempi si è visto chiaramente come il mondo reale si sti spostando verso il mondo digitale. Gli incontri limitati, le informazioni passate tramite computer o cellulare e il tempo passato in casa a curiosare su Internet, hanno portato ad un aumento mostruoso di informazioni e dati in rete.

Di conseguenza è aumentata anche la fuga dei dati, l’intrusione illecita nei sistemi e l’accessibilità ai dati personali.

In parte dovuto all’ignoranza in materia delle persone, ossia la cieca fiducia nei programmi e sistemi informatici da Facebook a TikTok, da Google a Zoom. Dall’altra parte dovuta allo sviluppo frettoloso e superficiale di alcuni sistemi messi sul mercato, come TuPassi o Immuni, in preda della situazione attuale.

Il Garante della privacy italiana, come tutti i garanti in Europa, svolge un enorme lavoro al fianco delle persone per difendere la loro riservatezza e la loro libertà. Un lavoro che tuttavia deve essere supportato da ogni singolo individuo quotidianamente perché i dati personali hanno un enorme valore.

Vediamo nel dettaglio il messaggio del video che vuole rendere consapevole le persone con lo scopo di proteggere il tesoro dei dati INSIEME.

  • Con te fin dall’inizio
  • Dati personali: nome, data di nascita, gruppo sanguigno, codice fiscale
  • Distanza di cortesia: la semplice linea di distanza che dà valore alla tua privacy
  • Social Network e Web: intervengono affinché possano essere sicuri per tutti (phishing)
  • I minori: scoprire il mondo in sicurezza proteggendosi da cyberbullismo e altri rischi
  • Condivisioni online: informazione e controllo affinché avvenga in modo sicuro, proteggendo la identità digitale 
  • Protezione del Diritto alla libertà: videosorveglianza intelligente, raccolta dati biometrici, tracciabilità e profilazione
  • Pareri alle istituzioni al fine di ottenere norme che rispettano la privacy di ognuno
  • Progettato nel futuro: Auto connesse, Smart City, riconoscimento facciale, intelligenza artificiale

I TUOI DATI SONO UN TESORO DA PROTEGGERE INSIEME 

Se ora ritieni opportuno verificare la tua attività riguardo la corretta gestione dei dati personali, oppure se desideri una cooperazione di fiducia e a lungo termineuna reperibilità costante e un buon servizio, contattaci subito.

Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”.

Saremo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

audit in ambito privacy

Come verifichi la conformità della tua azienda al GDPR? Guida ai vari tipi di Audit

Facciamo luce sui tipi di audit in ambito privacy

L’audit è uno strumento per valutare la conformità dell’azienda sotto il profilo del trattamento dei dati personali. Si valuta sia dal punto di vista elettronico e informatico che cartaceo e organizzativo. L’auditor infatti è “colui che ascolta”. Colui che, attraverso l’attività di campionamento delle informazioni documentate presenti all’interno di un’organizzazione, è in grado di valutare la conformità di un sistema di gestione ai criteri di riferimento.

La valutazione di conformità rappresenta uno step fondamentale e imprescindibile in ambito privacy. L’audit consiste in una valutazione di conformità dell’azienda sotto il profilo del trattamento dei dati personali.

Ebbene, attraverso il report finale vengono messe in rilievo le eventuali criticità da correggere all’interno dell’azienda. Quindi, nella prima fase, si va ad analizzare tutta la parte relativa alla documentazione. Poi si controlla il flusso dei dati personali dell’azienda sia all’interno sia verso l’esterno. In questo modo si riesce valutare la conformità e sicurezza della situazione aziendale in ambito privacy. Le interviste e i sopralluoghi contribuiscono in modo incisivo sulla valutazione specifica e globale. Si distinguono gli audit in tre categorie:

Audit di 1° parte

L’audit di prima parte, ossia quello “interno” consiste nella verifica dei processi interni d’azienda. In base alla grandezza dell’azienda si può scegliere di eseguire un audit globale oppure sezionarlo in vari reparti. Si dà la priorità ai reparti con maggiore “traffico” di dati. Come per esempio l’ufficio personale, il marketing o il reparto vendite. Il titolare ha la scelta di far eseguire l’audit di prima parte dal personale interno all’organizzazione che opera in posizione di indipendenza funzionale. In alternativa può incaricare un professionista esterno con tale compito.

Audit di 2° parte

L’audit di seconda parte si riferisce a quello “esterno”. Esso si svolge presso il responsabile esterno del trattamento. Si tratta della figura professionale che tratta i dati personali per conto del Titolare. Per esempio un fornitore che elabora i dati clienti al fine di inviare newsletter, inviti e comunicazioni promozionali personalizzati. Quindi nel momento in cui un’organizzazione che ha la necessità di qualificare un fornitore. In questo caso incarica un professionista interno, oppure un consulente, appositamente formato e addestrato, per la conduzione di un audit verso il fornitore stesso. I momenti in cui vengono svolti gli audit possono essere diversi. E qui si distingue tra audit di pre-qualificazione e di mantenimento. Significa che si effettua in un momento anteriore alla sottoscrizione di un contratto con il fornitore (pre-qualificazione). Oppure, al fine di valutare l’adeguatezza del fornitore ai requisiti richiesti dal Titolare (mantenimento), dopo l’accordo contrattuale.

In particolare, sarà necessario fare un audit di pre-qualificazione nella fase antecedente alla stipula del contratto con il fornitore perché così il Titolare del trattamento avrà modo di stimare se concludere o meno un contratto con quel fornitore. In questo caso, proprio perché non c’è nessun contratto, dovrebbero essere indicati i dati ai quali potrà estendersi il controllo.

L’audit di mantenimento

L’audit di mantenimento, invece, punta a valutare la compliance del fornitore nel periodo successivo alla stipula del contratto nonché la sua conformità ai requisiti richiesti dal Titolare in materia di trattamento dei dati. Ai sensi dell’art. 28 del Gdpr, infatti, il responsabile del trattamento deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.  

Dunque, con l’audit di seconda parte, si punta a valutare il rispetto degli obblighi contrattuali da parte del fornitore. Al termine di esso, si rilascia quindi un giudizio di “conformità” o meno. Pertanto, in caso di non-conformità del fornitore a quanto richiesto e pre-stabilito dal titolare, è obbligo del fornitore eliminare le eventuali non conformità emerse dall’audit, anche e non solo, per evitare le conseguenze che possono derivare da un inadempimento contrattuale.

Le conseguenze sul piano civilistico

Il Titolare dei dati conferisce al Responsabile esterno l’incarico, con un contratto o un altro atto giuridico conforme alla normativa nazionale. Significa che, tale atto prevede degli obblighi peculiari nei confronti del responsabile, obblighi diversi e ulteriori da quelli che, invece, incombono sul Titolare. L’art. 82, 2° comma del Gdpr prevede testualmente che “un responsabile del trattamento risponde per il danno causato dal trattamento solo se (…) ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”, per poi aggiungere al 3° comma che il “(..) il responsabile del trattamento è esonerato da responsabilità, a norma del paragrafo 2, se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Se il responsabile del trattamento non adempie esattamente alla prestazione dovuta, potrebbe incorrere nella responsabilità contrattuale e potrebbe essere obbligato a risarcire il danno al Titolare. Quindi, alla luce di quanto esposto, si comprende bene che dall’esecuzione dell’audit di seconda parte possono scaturire delle conseguenze rilevanti a carico del responsabile esterno del trattamento.

Audit di 3° parte

L’audit di terza parte si svolge presso organizzazioni che intendono certificare il proprio sistema di gestione oppure per monitorare un sistema di gestione già certificato. Pertanto, tale audit viene commissionato da un organismo di certificazione indipendente ed accreditato.

Conclusioni

In questo articolo abbiamo fornito una carrellata di informazioni riguardanti la gestione degli audit nell’ambito della privacy. Tuttavia non è facile, di primo impatto, sapere chi scegliere e cosa valutare per non incorrere in sanzioni o danni di reputazione. In ogni caso e sempre meglio fare un primo piccolo audio piuttosto che non farlo proprio. Una volta individuato il consulente giusto e il metodo corretto si raddrizza subito la situazione, recuperando eventuali criticità nella gestione. Resta comunque il fatto che l’audit ha un impatto economico sull’attività che a prima vista può sembrare alto. Tuttavia ricordiamo che il più grande (e caro) professionista costa sempre meno del più grande incapace. Perché l’impegno e il lavoro messo da parte tua per creare una buona reputazione va subito distrutto se un data breach compromette la sicurezza dei dati personali dei propri dipendenti e clienti.

Ora tocca a te! Prova a fare mente locale: i tuoi processi interni ed esterni sono adeguati al GDPR? I tuoi fornitori sono vincolati dalla riservatezza ed è documentato chi, come e perché tratta i dati personali dei tuoi dipendenti e clienti? O magari, piuttosto che sperare che tutto vada bene, sarà meglio controllare tramite un audit evitando sanzioni e danni alla reputazione? Siamo curiosi di conoscere i tuoi pensieri a riguardo. Facci sapere… noi ci siamo!