Questo guida illustra le funzionalità disponibili negli archivi della DocSuite relativi alla gestione della protezione dei dati personali a norma del GDPR e del D.lgs. 101/2018. Come noto uno dei temi principali della protezione dei dati personali è l'"accountability", ovvero la responsabilità in capo al titolare e ai diversi responsabili di poter dimostrare (ad un terzo che effettua l'attività ispettiva) il loro operato nella conduzione attiva del sistema di protezione dei dati.
La conduzione del sistema di protezione dei dati personali si articola in due diverse realizzazioni nella DocSuite. Una parte di archivi che permette di mantenere aggiornata la documentazione relativa alla conduzione del sistema privacy, mentre la seconda basata sui fascicoli di procedimento e attività e sui dossier permette di tracciare l'evoluzione nella conduzione del sistema di protezione dei dati personali.
I principali requisiti che possono essere tratti con l’ausilio della DocSuite sono:
- Privacy by design e privacy by default (art. 25)
- DPIA – Data Protection Impact Assessment (art. 35)
- Tenuta registro trattamenti (art. 30)
- Valutazione dei rischi delle singole attività collegate al trattamento
- Valutazione dei rischi delle singole applicazioni collegate al trattamento
- Misure di sicurezza (art. 32)
- Richieste soggetti interessati (art. 12, 13, 14)
- Notifica di violazioni (art. 33)
- Archivio consensi (art. 7)
Archivi Privacy
Nel modulo Archivi della DocSuite sono resi disponibili degli archivi dedicati alla raccolta delle informazioni e registri dei diversi aspetti che riguardano la gestione della privacy e che illustriamo di seguito.
L'uso del modulo archivi permette di ottenere la gestione elettronica e integrata dei registri richiesti dalla normativa. Eventualmente tali registri, materializzati digitalmente su periodicità da definire, possono essere versati in conservazione digitale.
Tutti gli Archivi DocSuite, quindi anche quelli privacy, possono essere personalizzati utilizzando il relativo Designer. Quindi quanto proposto di seguito può essere liberamente personalizzato anche nel corso della conduzione del sistema Privacy.
Archivio Titolari e Responsabili
Questo archivio permette di censire i titolari, i responsabili dei trattamenti, i responsabili esterni, il DPO, gli autorizzati ai trattamenti.
Di ogni anagrafica sono raccolti i documenti di nomina e il contatto relativo nella rubrica aziendale. La gestione del contatto permette la creazione del relativo fascicolo dei documenti e la gestione della data di scadenza delle nomine permette di attivare i flussi di scadenzario generale della DocSuite.
Archivio Trattamenti
Questo archivio permette di raccogliere i trattamenti dei dati a livello aziendale, indicandone il responsabile, la tipologia di trattamento, la valutazione (automatica) della necessità di DPIA (data protection impact analisys), il livello di rischio complessivo del trattamento (eventualmente calcolato dall'archivio degli Eventi associati al trattamento) e la raccolta dei documenti relativi alla valutazione del rischio, all'ultimo audit eseguito, eventuale documentazione sulla consultazione preventiva al Garante.
Gli automatismi collegati alla data dell'ultimo audit permettono di attivare lo scadenzario della DocSuite.
l' Archivio DPIA permette di raccogliere le informazioni relative alle singole analisi di impatto e di collegandole ai trattamenti a cui si riferiscono.
Archivio delle Attività
Ciascun trattamento può essere meglio analizzato nell'archivio delle attività che permette per ciascuna attività connessa al trattamento di specificarne la natura e di farne una valutazione del rischio in modo che se ne possa valutare l'impatto residuo.
Nelle misure adottate per la specifica attività sono già disponibili quelle della WP29.
Archivio delle Applicazioni
Ciascun trattamento può essere collegato alle applicazioni coinvolte in tale trattamento, in modo che per ciascuna di esse sia valutabile il rischio residuo e archiviate le attività di auditing eseguite.
Nelle misure adottate per la specifica attività sono già disponibili quelle della WP29.
Archivio dei Consensi
Questo archivio permette di raccogliere le informazioni relative ai consensi raccolti dagli interessati relativi i diversi trattamenti assieme alla documentazione relativa.
Anche nel caso dei consensi, le date di scadenza, definibili secondo le policy aziendali, alimentano lo scadenzario della DocSuite attivando per tempo i flussi relativi alla raccolta dei rinnovi dei consensi.
Archivio delle Violazioni (data breach)
Questo archivio permette di raccogliere la documentazione relativa alle violazioni di accesso ai dati.
Diario del sistema di protezione dei dati personali
Il processo di miglioramento continuo prevede lo svolgersi di una serie di attività interne inerenti la conduzione del sistema di protezione dei dati personali, come riunioni della direzione, incontri con il DPO, visite ispettive interne ed esterne, emanazione di disposizioni e comunicazioni.
Sempre per favorire una accountability di tale processo è stato predisposto un archivio denominato "Diario Privacy" in cui il titolare o suo designato può tenere traccia dei passaggi ufficiali relativi alla conduzione del sistema.
Archivi per calcolo del Rischio
Il modulo privacy incorpora alcuni archivi dedicati al supporto per il calcolo del rischio dei diversi trattamenti. Ogni trattamento coinvolge delle Applicazioni , delle Attività e degli Eventi ciascuno dei quali specifica un proprio contributo al rischio incrociando i dati di probabilità di accadimento con la gravità dell'evento stesso.
|
Impatto |
|||
Probabilità |
Basso |
Medio |
Alto |
Altissimo |
Bassa |
Basso |
Medio |
Alto |
Altissimo |
Media |
Basso |
Medio |
Alto |
Altissimo |
Alta |
Medio |
Alto |
Altissimo |
Altissimo |
Andando poi ad inserire il rischio lordo a fronte delle Misure adottate per la minimizzazione del rischio secondo la matrice:
|
Qualità / efficienza dei presidi e dei processi di controllo |
|||||
Rischio Lordo |
Soddisfacente |
Buona |
Sufficiente |
Incompleta |
Inefficiente |
Inappropriata |
Basso |
Basso |
Basso |
Basso |
Medio |
Medio |
Medio |
Medio |
Basso |
Basso |
Medio |
Alto |
Alto |
Alto |
Alto |
Medio |
Medio |
Alto |
Alto |
Alto |
Altissimo |
Altissimo |
Medio |
Medio |
Alto |
Altissimo |
Altissimo |
Altissimo |
Si ottiene un calcolo e la generazione del relativo documento PDF relativo alla valutazione dei rischi dei singoli trattamenti e quindi dell'intero sistema di conduzione della Privacy.
Modulistica standard per Privacy
Assieme agli archivi nelle tabelle dei modelli di documentazione della DocSuite possono essere caricati i template word relativi ai documenti relativi alla privacy come ad esempio le informative, consensi, e valutazioni del rischio.
Tali documenti sono utilizzabili nell'avvio di Collaborazione per la redazione di nuovi documenti ed eventuale raccolta delle firme digitali sugli stessi prima dell'inserimento in Archivio e/o Protocollo.
Dossier e Fascicoli Privacy
La conduzione, l'evoluzione nel tempo, del sistema di protezione dei dati sarà tracciata da scambi documentali che coinvolgono il protocollo e gli archivi e che sono quindi raccolti in fascicoli di procedimento e di attività.
Ad esempio avremmo un fascicolo che raccoglie la documentazione predisposta per l'avvio del sistema di gestione della privacy, un fascicolo con le diverse nomine dell'anno in corso, un fascicolo delle attività di valutazione dei rischi ed dei relativi audit. Questi fascicoli possono essere raccolti in Dossier ad esempio annuali, o relativi alle diverse fasi evolutive del sistema privacy.
Cruscotto Privacy
Il Cruscotto Privacy è una funzionalità che permette di visualizzare in una pagina lo stato della valutazione del rischio dell’intero sistema. Selezionando i singoli widget si accede alla corrispondente vista.
Commenti
0 commenti
Accedi per aggiungere un commento.