È stata pubblicata la line guida UNI/PdR 43 per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR). La linea guida ha lo scopo di definire le azioni necessarie per garantire particolari trattamenti di dati nell’ambito ICT, in modo da offrire al Titolare del trattamento una guida di riferimento ed alle Autorità di controllo un metro di giudizio.

I destinatari di tali prassi sono le organizzazioni che trattano dati con strumenti elettronici con particolare riferimento alle piccole e medie imprese in coerenza all’art 42 GDPR.

La prassi di riferimento è divisa in capitoli che trattano gli aspetti principali della privacy conformemente agli obblighi del GDPR il tutto contenuto in uno schema denominato PDMS (Personal Data Management System).

Lo schema include molti punti già applicati nella ISO 9001 e nella ISO 27001 ed in più lo schema definisce anche il modello da adottare per eseguire l’analisi del rischio. La ISO 31000.

Adottare qualunque altro modello non è garanzia di riferimento per le Autorità di Controllo

CONTESTO

Così come per le norme di riferimento anche per la prassi il Titolare dovrebbe definire i fattori interni ed esterni rilevanti per il raggiungimento delle proprie finalità che possono influenzare gli obiettivi del trattamento. Le organizzazioni che adottano Sistemi di Gestione dovranno solo verificare che il contesto risulta essere coerente anche con i requisiti della privacy.

OBIETTIVI

Il titolare dovrebbe definire gli obiettivi del proprio Sistema di Gestione e le finalità del trattamento. Obiettivi coerenti con il proprio business e naturalmente raggiungibili.

PROCESSO DI GESTIONE DEL TRATTAMEMNTO DEI DATI

Il processo si articola in 4 fasi: Requisiti Normativi, Analisi dei requisiti rispetto al contesto, obblighi ed adempimenti conseguenti

Lo schema di miglioramento si articola in 4 parti: Pianificare, Attuare, Verificare, Reagire

Il titolare dovrebbe assicurare che siano definite responsabilità, autorità e competenza appropriate per trattare i dati personali in genere con specifico riferimento al processo di gestione dei dati.

Il titolare deve inoltre definire i KPI di processo per monitorare l’andamento e misurane lo scostamento rispetto agli obiettivi.Il titolare dovrebbe inoltre attuare un sistema che, nel rispetto della vigente normativa applicabile, definisca le azioni correttive da adottare per il mancato rispetto degli obblighi previsti dal sistema.

PROCESSI

Per ogni processo devono essere individuati i dati e le modalità di trattamento. I dati devono essere classificati considerando i requisiti normativi ed interni. Il titolare dovrebbe definire uno schema per etichettare il dato (Come definito nella ISO 27001)

ARCHIVI (BANCHE DATI)

Il titolare dovrebbe definire, attuare e monitorare appropriati livelli di protezione per gli archivi (DB). Per ogni DB dovrebbe essere disponibile una corretta identificazione. Modalità di accesso, tecniche di protezione adottate, tecniche di anti intrusione adottate, crittografia utilizzata, tipi di dati archiviati, proprietà del dato, locazione del DB, tecniche di ripristino definite, tecnologia adottata etc)

CONFORMITA’ LEGISLATIVA

Il titolare dovrebbe essere in grado di dimostrare la propria conformità rispetto la legge e la correttezza delle attività che pone in essere. Il titolare dovrebbe vigilare che le attività siano documentate. La documentazione dovrebbe essere coerente e proporzionale con l’organizzazione.

RISCHI DEI TRATTAMENTI

La prassi fa riferimento alla UNI ISO 31000 ed è stato schematizzato come di seguito

Il processo di gestione del rischio dovrebbe essere armonizzato alle norme richiamate e dovrebbe essere ciclico

L’elemento principale in cui consiste il processo di identificazione dei rischi è la mappatura dei rischi, compresi quelli derivanti dai trattamenti dei dati personali attraverso sistemi e tecnologie IT.

Le metodologie di mappatura possono variare in base al contesto e ai principi generali applicati nella gestione dei rischi derivanti dal trattamento dei dati in ambito ICT.

Qualsiasi sia l’approccio metodologico, i rischi ICT identificati e che insistono, direttamente o indirettamente, sul trattamento dei dati personali, debbono essere elencati in un documento strutturato, il “Registro dei rischi” o le Schede Rischio.

Nel “Registro dei rischi”, per ciascuna scheda, debbono essere elencate le principali proprietà necessarie alla registrazione di ogni rischio individuato, a titolo esemplificativo e non esaustivo: il nome del rischio; un numero identificativo univoco; la data della mappatura; la descrizione del rischio; la probabilità di accadimento; l’impatto sull’organizzazione; il valore atteso del danno; l’indice di rischio potenziale; l’azione di mitigazione applicata; l’indicatore del rischio residuo; riferimenti ad altri documenti utili; persone fisiche e/o unità organizzative coinvolte (Risk owner); indicatore se il rischio identificato dovrebbe essere comunicato all’Autorità nazionale di riferimento; la data di inoltro della comunicazione; la data di risposta dell’Autorità; il riferimento fornito dall’Autorità.

Vuoi saperne di più? Contattaci!