Sicurezza del trattamento dei dati personali

La nuova piattaforma fa parte del lavoro dell'Agenzia in materia di privacy e protezione dei dati, che si concentra sull'analisi delle soluzioni tecniche per l'implementazione del GDPR, la privacy per progettazione e la sicurezza del trattamento dei dati personali.

L'Agenzia europea per la cibersicurezza, direttore esecutivo, Juhan Lepassaar, ha dichiarato:

"È il ruolo dell'Agenzia dell'UE per la cibersicurezza sostenere l'ecosistema della cibersicurezza con consigli pratici e strumenti a sostegno della mitigazione dei rischi. La piattaforma è uno strumento chiave che fornisce una guida alle organizzazioni sul loro profilo di rischio durante l'elaborazione dei dati personali; inoltre, questa piattaforma fornisce alle organizzazioni raccomandazioni basate sul loro profiloindividuale."

Raccomandazioni principali

Lo spettro delle raccomandazioni contenute nella relazione di accompagnamento si riferisce ai seguenti settori:

Le organizzazioni, come le PMI, che trattano i dati personali (controllori dei dati) e gli organismi competenti dell'UE dovrebbero lavorare per un uso comune di casi ed esempi per la sicurezza dei dati personali, sostenendo nel contempo quadri di valutazione dei rischi di sicurezza più ampi che incorporano i dati requisiti di protezione.
Organismi dell'UE competenti e autorità per la protezione dei dati dovrebbero sviluppare documenti di orientamento pratico che saranno in grado di sostenere e assistere diversi tipi di controllori di dati nella scelta di misure di sicurezza appropriate e adeguate.
La comunità di ricerca e gli organismi di standardizzazione dovrebbero continuare a lavorare per fornire soluzioni tecniche a minacce alla sicurezza sempre crescenti in diversi settori delle misure di sicurezza e delle tecnologie per il miglioramento della privacy, con il sostegno di organismi competenti dell'UE e commissione europea, in termini di orientamento e finanziamento delle politiche.
La Commissione europea, le autorità per la protezione dei dati e gli organismi competenti dell'UE dovrebbero esplorare le possibili sinergie tra diversi quadri di certificazione per quanto riguarda la sicurezza del trattamento dei dati personali.

Chi può utilizzare la piattaforma?

I controllori dei dati e i loro appaltatori che assistono (processori di dati) possono beneficiare di questa piattaforma per determinare il loro approccio quando cercano di sviluppare politiche per proteggere i dati personali sotto il loro controllo. Questa piattaforma può anche essere dimostrata utile sia ai revisori che alle autorità di vigilanza, nel tentativo di determinare il livello di preparazione e analisi che precede la designazione delle misure di sicurezza adottate da un controllore dei dati.

C'è spazio per sfruttare questa piattaforma tra la comunità delle PMI, che può beneficiare di soluzioni disponibili al pubblico, come quella fornita da ENISA, per sostenere la conformità al GDPR.

Priorità bassa

Poiché la sicurezza del trattamento dei dati personali è un obbligo fondamentale per i controllori e i trasformatori di dati ai sensi dell'articolo 32 del regolamento generale sulla protezione dei dati, l'ENISA ha proposto nel 2018 un approccio basato sul rischio per l'adozione di misure di sicurezza per la protezione dati personali.

La piattaforma può essere trovata: strumento on-line per la sicurezza del trattamento dei dati personali

Fonte: ENISA

In seguito alla valutazione del livello di rischio per una determinata operazione di elaborazione e alla proposta di misure di sicurezza appropriate (sia tecniche che organizzative), il controllore/processore dei dati potrebbe dover (ri)verificare lo stato di adozione/attuazione delle misure proposte.

Attraverso questo meccanismo di autovalutazione, il controllore/processore dei dati è in grado di introdurre il livello di rischio per un'operazione di trattamento dei dati personali e di fornirne una breve descrizione. Quindi, selezionando il pulsante sottostante, lei/lui è quindi in grado di selezionare quali delle misure proposte sono già implementate e quindi essere lasciato con un elenco di quelli, che devono ancora essere distribuiti. Ancora una volta, questo elenco non deve essere percepito come assoluto, ma come guida basata sui passi metodologici proposti da ENISA. Metodologie simili sulla valutazione del rischio sono state pubblicate anche da CNIL, ICO ecc.

VAI AL TOOL ONLINE (EN)

ESEMPI DI AUTOVALUTAZIONE IN EXCEL (ITA)

RISCHIO BASSO

RISCHIO MEDIO

RISCHIO ALTO 

La valutazione dei rischi è il primo passo verso l'adozione di misure di sicurezza adeguate per la protezione dei dati personali. Nei prossimi passi presentiamo un approccio semplificato che può guidare le PMI attraverso la loro specifica operazione di trattamento dei dati e aiutarli a valutare i rischi per i pertinente alla sicurezza. Di conseguenza, l'approccio proposto non presenta una nuova metodologia di valutazione del rischio, ma si basa piuttosto sul lavoro esistente sul campo ( CNIL – Managing Privacy Risks Methodology, ENISA - Raccomandazioni per una metodologia di valutazione della gravità delle violazioni della gravità dei dati personali, ENISA - Risk Management and Risk Assessment for SMEs) per fornire orientamenti alle PMI. Va notato che l'approccio proposto ha lo scopo di supportare i controllori/processori di dati e non fungere da meccanismo di conformità.

Va inoltre notato che il lavoro si concentra esclusivamente sulla valutazione dei rischi per la sicurezza nel contesto delle operazioni di trattamento dei dati personali e non deve essere confuso con la valutazione dell'impatto sulla protezione dei dati (DPIA - Articolo 35 GDPR). Infatti, mentre il primo è una parte critica di quest'ultimo, un DPIA prende in considerazione diversi altri parametri che sono legati al trattamento dei dati personali e vanno oltre la sicurezza. Tuttavia, l'approccio proposto potrebbe essere utile anche nel contesto di un DPIA e/o potrebbe essere esteso in futuro per coprire anche la conduzione del DPIA.

Si prega di notare che nessuno dei dati / informazioni inserite nella nostra piattaforma viene salvato e non sarà disponibile se il browser è chiuso. È quindi consigliabile eseguire l'intera valutazione in una sola volta.

Nell'ultima fase della valutazione del rischio, sarà possibile esportare tutte le informazioni inserite al livello identificato di rischio delle operazioni di elaborazione oltre alle misure di sicurezza (tecniche e organizzative) proposte (in formato PDF).

1. Definizione e contesto dell'operazione di elaborazione
Questa fase è il punto di partenza della valutazione del rischio ed è fondamentale per definire i limiti dell'operazione di trattamento dei dati (in fase di valutazione) e il relativo contesto. In tal modo, l'organizzazione deve considerare le diverse fasi del trattamento dei dati (raccolta, archiviazione, uso, trasferimento, smaltimento, ecc.) e i relativi parametri successivi. Occorre prestare particolare attenzione al fatto che l'analisi di seguito riguarda una specifica operazione di trattamento; un sistema di elaborazione dati può comprendere più di un'operazione di elaborazione dati.

VAI AL TOOL ONLINE (EN)

ESEMPIO DI VALUTAZIONE IN EXCEL (ITA)

Kit documentazione GDPR è una raccolta di documenti editabili in formato MS Word e MS Excel indispensabili per realizzare l’aggiornamento privacy al nuovo Regolamento europeo privacy Reg. Ue 2016/679.

Il kit di modelli GDPR è la via più veloce per conformarsi al GDPR dell'UE .

Contiene tutti i modelli di documento e gli strumenti necessari insieme con istruzioni dettagliate.

Il kit di modelli GDPR è adatto per le organizzazioni (indipendentemente dalle dimensioni e dal focus del settore) che cercano di diventare conformi a GDPR con tempi, costi e costi minimi.

Nella descrizione del prodotto di seguito è possibile visualizzare un elenco di tutti i documenti e gli strumenti inclusi nel kit.

Il kit di modelli GDPR contiene tutti i documenti e gli strumenti necessari per consentire all'organizzazione di conformarsi ai requisiti di GDPR.

Abbiamo cercato di fornirvi un insieme di modelli e strumenti che crediamo possano essere sufficienti ad una piccola o media impresa per conformarsi al GDPR.

In tutti i casi, la struttura, i processi o la natura della vostra azienda, potrebbero richiedere ulteriori documenti o fasi di implementazione. Si prega inoltre di adattare e personalizzare i modelli e gli strumenti nel kit di modelli per le specificità della vostra azienda e seguendo la legislazione nazionale sulla protezione dei dati

Il kit contiene i seguenti modelli:

- Istruzioni e lista di controllo di conformità
- Politica di protezione dei dati
- Politica di conservazione dei dati
- Programma di conservazione dei dati
- Politica e procedura sui diritti di accesso ai soggetti
- Modulo di richiesta di accesso per il soggetto
- Informativa sulla Privacy
- Politica e procedura di notifica della violazione dei dati
- Politica e procedura per la valutazione dell'impatto sulla protezione dei dati
- Modulo di valutazione dell'impatto sulla protezione dei dati
- Data Protection Officer (DPO) - Descrizione del lavoro
- Politica sui trasferimenti di dati
- Accordo standard sull'elaborazione dei dati
- Politica di sicurezza dei dati
- Registro dei dati personali
- Registro delle attività di elaborazione
- Registro di violazione dei dati interni
- Mappa dei dati

Nel kit è presente un file separato con le istruzioni su come affrontare l'implementazione della conformità GDPR, i passaggi da seguire e su come adattare i modelli alle specifiche della tua organizzazione.

Nel file è inoltre presente una checklist di conformità GDPR che è possibile utilizzare dopo l'implementazione per verificare che siano state soddisfatte tutte le condizioni necessarie.

Tutti i documenti sono in formato MS Word o MS Excel e sono completamente modificabili.

Troverai tutti i modelli in file word ed excel editabili e modificabili sia in lingua italiana che in lingua Inglese.