Covid-19: Virus & Privacy in Azienda

Aspetti essenziali per ogni trattamento

Vediamo adesso alcuni aspetti che riguardano qualsiasi trattamento di dati personali effettuato per affrontare l’emergenza Covid-19:

  • si ricorda che ogni trattamento deve essere pensato e organizzato secondo i principi di privacy by design e privacy by default
  1. “data Protection by design” ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati;
  2. “data Protection by default” ossia la necessità che misure e presidi di sicurezza (tecnici, organizzativi, procedurali, operativi) siano applicati per impostazione preimpostata;
  • come precedentemente ricordato deve essere aggiornata/effettuata valutazione del rischio e DPIA (attenzione la valutazione del rischio NON è solo informatica ma deve prendere in considerazione i rischi su libertà e dignità di tutti i soggetti interessati oltre che garantire riservatezza integrità e disponibilità dei dati);
  • deve essere adeguatamente aggiornato il Registro dei Trattamenti[4], sia in relazione a nuovi processi di trattamento che in relazione alle misure di sicurezza implementate:

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.  La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.”

  • Devono essere adeguatamente aggiornate/redatte le informative aziendali;
  • devono essere redatti/aggiornati i contratti con i fornitori di servizio le cui attività riguardano il trattamento dati e devono essere specularmente ridefiniti i rapporti titolare responsabile e le istruzioni sul trattamento dati;
  • devono essere predisposti piani di formazione ed azioni comprovabili di istruzioni documentate per il personale dipendente;
  • devono essere adottate misure che tengono conto dei vari precetti normativi/regolatori che impattano su uno specifico trattamento (ad esempio misure previste da provvedimenti dell’Autorità Garante, come il provvedimento sugli Amministratori di Sistema);
  • devono essere adottate misure di sicurezza che devono “garantire un livello di sicurezza adeguato al rischio” nel trattamento (art. 32, paragrafo 1) e tale valutazione, salvo in applicazione di specifiche prescrizioni normative o atti dell’Autorità Garante, viene rimessa al Titolare (o al Responsabile), fra le quali si ricordano le principali:
  1. misure legate ad organizzazione e ruoli aziendali;
  2. misure legate alla definizione di precise politiche e policy;
  3. misure in relazione alla definizione preventiva dei permessi ed autorizzazioni (anche it) per effettuare trattamento dati;
  4. misure procedurali organizzative e tecniche legate alla gestione degli asset aziendali;
  5. procedure tecniche legate alla sicurezza informatica in ogni sua declinazione (sicurezza degli strumenti, dei data base, delle comunicazioni, dei device, dei server);
  6. politiche e procedure organizzative e tecniche legate alla prevenzione e gestione di data breach;
  7. politiche e procedure organizzative e tecniche per garantire la capacità di ripristino dei dati;
  8. politiche e procedure organizzative e tecniche per la gestione del ciclo di vita dei dati (dall’acquisizione alla cancellazione);
  9. misure legate alla sicurezza fisica di strumenti e dati;
  10. misure legate ad istruzioni e formazione del personale;
  11. misure legate alla gestione adeguata dei diritti degli interessati;
  12. misure legate all’adozione di specifiche disposizioni normative o di provvedimenti dell’autorità garante (es. provvedimento Ads, linee guida gestione posta elettronica e internet, provvedimenti in tema di gestione dati di traffico telefonico, etc.).

Share this post:

Articoli collegati

[adrotate group="2"]

Lascia un tuo commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.