Le quattro domande di una Consulenza Privacy: Come?

Lampadine con scritte le parole chiave della privacy

Nella molteplicità di offerte, servizi e professionisti privacy disponibili riteniamo opportuno delineare come gestiamo una consulenza privacy, gli strumenti che utilizziamo, gli standard di riferimento e, più in generale, il nostro approccio. Questo articolo si propone come un tour introduttivo per cominciare a conoscere e valutare la nostra offerta: speriamo, con una serie di punti, di catturare l’essenza del nostro lavoro e creare un clima di fiducia con i lettori grazie alla trasparenza e alla comunicazione trasparente, aspetti fondamentali della privacy stessa.

Premessa

La privacy nella sfera lavorativa è la panoramica della propria attività per il trattamento dei dati personali che possono riguardare per esempio clienti, dipendenti e professionisti con cui si collabora. La gestione di questi dati segue un flusso, ossia la sequenza di passaggi che i dati seguono per una determinata finalità. Per maggiori dettagli sugli aspetti trattati rimandiamo all’articolo introduttivo “Le quattro domande di una Consulenza Privacy: Cosa?“.

Prima di analizzare come trattiamo la privacy vediamo di aprire una piccola parentesi su cos’è il flusso dei dati, confrontiamo un paio di esempi pratici ed avviamo una riflessione sui limiti dei modelli generici ed i vantaggi connessi a una consulenza privacy.

Esempi pratici

Prendiamo l’esempio di un singolo trattamento, la gestione sanitaria del paziente, e vediamo di avviare un confronto di due attività affini. Ci teniamo a precisare che l’analisi di un trattamento riguarda numerosi campi: per i seguenti casi ci concentreremo sul trattamento, la tipologia di dati trattati, una descrizione dell’attività svolta, le modalità di gestione e conservazione ed infine i soggetti coinvolti nel trattamento.

Caso 1: un ambulatorio dentistico per la gestione sanitaria del paziente tratta dati relativi alla salute, anagrafici, contabili e fiscali. Piano di trattamento, cartelle cliniche, esami radiologici ed agenda vengono conservati su schedari cartacei. Contabilità, prima nota e amministrazione vengono gestiti da un gestionale comprensivo di fatturazione cloud con relativi permessi concessi alla commercialista per visionarle. I manufatti protesici, gli apparecchi ortodontici e le impronte dentali con relativi dati anagrafici vengono consegnati a mano o spediti via corriere ai laboratori odontoiatrici autorizzati senza utilizzo di forme di anonimizzazione / pseudonimizzazione per i dati.

I dati vengono trattati secondo il principio di minimizzazione dal Titolare del Trattamento e dal personale di segreteria in qualità di Autorizzato al Trattamento. La commercialista e i laboratori autorizzati sono Titolari autonomi del Trattamento.

Caso 2: un altro ambulatorio dentistico per lo stesso trattamento invece conserva i dati su un server in un gestionale. Questi include dati dei trattamenti dei pazienti, funzioni di imaging diagnostico e la parte d’amministrazione (agenda, prima nota, scadenziario, contabilità) dispone di un collegamento al portale cloud per la fatturazione con relativi permessi concessi alla commercialista per visionarle. Le TAC vengono conservate su un altro server su un gestionale per gli esami radiologici. La documentazione cartacea riguarda libri e scritture contabili. I manufatti protesici, gli apparecchi ortodontici e le impronte dentali vengono consegnati ai laboratori odontoiatrici autorizzati con la pseudonimizzazione dei dati. I laboratori non ricevono dunque dati personali.

I dati vengono trattati secondo il principio di minimizzazione dal Titolare del Trattamento, dal personale di segreteria e dalle assistenti alla poltrona in qualità di Autorizzati al Trattamento. La commercialista e il personale odontoiatrico che opera all’interno della struttura sono Titolari autonomi del Trattamento.

Esempi pratici di un trattamento in due casi simili

Limiti dei modelli generici

Lo stesso principio si può estendere a tutti i trattamenti di un’attività e si evince che i “modelli generici” trovati su internet non garantiscono una visione del proprio flusso di dati (né tantomeno degli strumenti utilizzati, della documentazione necessaria, dei soggetti coinvolti e dell’analisi dei rischi) in quanto dagli esempi riportati si nota come persino realtà simili possono avere una gestione dei dati personali molto differente.

I vantaggi di una consulenza privacy

Affidarsi a dei professionisti costantemente aggiornati in materia privacy permette una tutela al passo con la rapida evoluzione nell’ambito della protezione dei dati personali e garantisce la tranquillità di un corretto adeguamento del servizio alle reali necessità dell’attività.

Consulenza privacy: Come

Passiamo ora al come si svolge la nostra consulenza privacy che consiste nella redazione di tutti i documenti richiesti dalla normativa vigente secondo un programma di analisi, compilazione, gestione pratica nel flusso di lavoro e verifica finale. Viene inoltre elaborato un “foglio di gestione”, il Privacy Manager, che consente di avere una “fotografia” dello stato dell’attività e della maturità del programma privacy.

Infografica Privacy Manager in 8 punti: come gestiamo la consulenza privacy

Il Privacy Manager è diviso nelle seguenti aree:

  • Documentazione: lista della documentazione sulla base degli adempimenti privacy con relativi articoli GDPR associati
  • Anagrafica e sede/i
  • Organigramma privacy: l’inquadramento dei ruoli nel GDPR
  • Informative e trattamenti comprensivo del flusso dei dati, finalità, basi giuridiche, soggetti coinvolti e valutazione del rischio per singolo trattamento secondo il modello ENISA
  • Formazione: valutazione istruzione privacy con relativi corsi e piani di formazione
  • Assets ossia gli strumenti utilizzati per il trattamento dei dati personali comprensivi della sezione applicazioni, backup e sistemi di protezione dati
  • Profilazione
  • Checklist per l’analisi del livello di applicazione dei controlli privacy. Analisi rischi per l’analisi del livello di applicazione delle contromisure minacce

Sia la checklist che l’analisi rischi sono strutturate in sezioni comprensive di livello di applicazione dei controlli privacy per ogni singola voce riguardante i punti sopra esposti in modo da definire l’applicazione completa, parziale, mancante o inapplicabile. Sono inoltre presenti grafici per avere una panoramica della corrente implementazione privacy.

Infografica Checklist in 7 punti
Infografica Analisi Rischi in 4 punti

Per le realtà che già dispongono di un gestionale privacy questi può essere compilato al posto del Privacy Manager.

Standard di riferimento

Per la privacy è necessario adottare criteri di valutazione e standard qualificati sia per un discorso di validità, sia per permettere a realtà come consulenti, dpo, titolari, responsabili ed esperti del settore di confrontarsi su un terreno comune e avere un dialogo basato su degli standard di riferimento.

Apriamo una breve parentesi sullo standard ISO 19011 che definisce le linee guida per audit (anche se questo articolo si occupa della parte di consulenza riteniamo importante delineare anche lo standard degli audit per una maggiore consapevolezza) di sistemi di gestione compresi i principi dell’attività, la gestione dei programmi e la conduzione di audit. La ISO 19011 si avvale del ciclo PDCA per definire il processo di gestione di un programma audit e maggiori dettagli e informazioni si possono trovare nella pagina dei servizi dedicata ai Privacy Audit su come trattiamo gli audit.

Per quanto concerne la consulenza privacy lo standard ISDP 10003 definisce i requisiti generali e i controlli per dimostrare la conformità ai sensi del regolamento EU 2016/679 dei trattamenti di dati personali che il titolare e il responsabile effettuano nell’ambito dei prodotti, processi e servizi, realizzati o comunque erogati. Particolare attenzione viene posta a natura, contesto e rischio delle operazioni di trattamento effettuati in Europa ed anche fuori dall’Unione Europea visto che è stato elaborato nell’ambito di un più ampio quadro di conformità previsto dal nuovo regolamento europeo sul trattamento dei dati personali, basato sul principio di responsabilizzazione e tutela dei diritti fondamentali.

Lo schema di certificazione ISDP 10003 è accreditato da Accredia in accordo con la norma EN ISO/IEC 17065:2012 e propone strumenti e flussi di lavoro teorici ed operativi proponendo un framework privacy efficace a più livelli. L’oggetto della certificazione inoltre richiama l’analisi di dettaglio dei trattamenti quali elementi chiave, dei dati, dei processi e delle infrastrutture tecniche che vengono sottoposte a verifica.

ENISA è il nostro standard di riferimento in materia di valutazione del rischio avendo elaborato con il contributo del Garante1 un modello basato sui seguenti punti:

  • definizione dell’operazione di elaborazione e del suo contesto
  • comprensione e valutazione dell’impatto
  • definizione delle possibili minacce e valutazione della loro probabilità
  • valutazione del rischio
  • selezione delle misure di sicurezza appropriate

ENISA, l’European Union Agency for Cybersecurity, è un centro di competenze in materia di sicurezza informatica in Europa. Aiuta l’UE e i paesi membri dell’UE a essere meglio attrezzati e preparati a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione. Ricordiamo che uno dei cardini di una consulenza privacy è quella di migliorare la consapevolezza del Titolare e dei soggetti coinvolti nel trattamento e la metodologia DPIA ENISA rappresenta un metodo semplice e comprensibile anche per i non addetti ai lavori pur essendo un metodo completo e preciso.

Per quanto concerne la pubblica amministrazione il riferimento è l’AgID, l’Agenzia per l’Italia digitale che sostiene l’innovazione digitale e promuove la diffusione delle competenze digitali. Tra i documenti di maggiore attinenza in campo privacy sono presenti le misure minime di sicurezza ICT per le pubbliche amministrazioni e le linee guida dei flussi documentali e protocollo informatico.

Formazione

Secondo l’articolo 29 del G.D.P.R. “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”.

In generale la formazione è un investimento nel momento in cui c’è un processo di crescita del personale interessato. Ricordiamo infatti come nelle realtà quotidiana le operazioni svolte per il proprio lavoro si intersechino con il trattamento dei dati personali in molte situazioni. In tale contesto bisogna pensare la formazione privacy in un’ottica di potenziamento dell’attività lavorativa e non come un mero obbligo di legge. L’evolversi di minacce come il Social Engineering, ossia quella serie di tecniche basate sullo studio del comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali, è uno di quegli aspetti che una formazione privacy mira a prevenire e che riguardano cardini dell’attività lavorativa come la riservatezza e la business continuity.

Nell’attività di consulenza privacy è prevista la valutazione delle competenze maturate con piani e corsi di formazione del Titolare e del personale coinvolto nel trattamento.

I corsi di formazione che offriamo sono finalizzati alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti. Possono essere richiesti come integrazione alla consulenza o come servizio indipendente. Le aree chiave sono consultabili nella pagina dedicata del sito.

L’importanza dell’esperienza sul campo

Considerando tutti gli aspetti finora citati risulta essenziale nella maggior parte dei casi, per un’analisi accurata e precisa, predisporre almeno un incontro presso la/e sede/i ove vengono trattati i dati personali per effettuare i necessari accertamenti. Questo permette un confronto più efficiente e sinergico con i soggetti coinvolti nel trattamento oltre a garantire l’attendibilità di determinate verifiche come l’analisi del posizionamento della videosorveglianza, la sicurezza fisica delle postazioni e degli archivi solo per citarne alcuni.

Proprio per questo motivo, è nostra prassi proporre un primo incontro conoscitivo a titolo gratuito presso la sede del Titolare (fatta eccezione per il caso di trasferte a lunga distanza) al fine di comprenderne le necessità e per effettuare i primi rilevamenti; sulla base delle risultanze di questo primo incontro si provvederà a redigere un preventivo calibrato sugli interventi che si rendono indispensabili.

Privacy e Cybersecurity

La privacy basandosi sui principi di integrità e riservatezza pone una forte enfasi al tema della sicurezza e con l’aumentare della trasmissione informatica dei dati il tema della cybersecurity è diventato man mano sempre più rilevante al punto che il cybercrimine è stato definito la terza potenza economica mondiale dal World Economic Forum2. Nella ricerca di offrire un servizio sempre migliore per la privacy offriamo esami preliminari di cybersecurity inclusi nella consulenza privacy inerenti vulnerabilità degli assets informatici, della sicurezza perimetrale e, tramite strumenti di Web App Scan, legate al mondo del Domain Threat Intelligence. Nel caso in cui vengano riscontrate criticità rilevanti verranno presentati riferimenti a specialisti del settore.

Un approccio pratico e su misura

Per concludere vorremmo portare l’attenzione su un tema chiave. La consulenza privacy deve essere fatta su misura, così come la gestione del rischio deve essere proporzionale alla minaccia: l’obbiettivo è integrare la privacy senza appesantire la propria attività perché la privacy dev’essere mirata a produrre un valore aggiunto, aumentare la consapevolezza, potenziare la business continuity e la sicurezza.


1 Insight Report Novembre 2020 World Economic Forum: WEF Partnership against Cybercrime report 2020 PDF

2 Pagina del Garante della Privacy per la collaborazione con ENISA: Enisa: uno strumento per la valutazione del rischio di sicurezza elaborato con il contributo del Garante

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su