Sicurezza informatica e Privacy

Sicurezza Informatica:

L’obiettivo è di supportare il cliente nella realizzazione di un modello informatico sicuro, in grado di fornire valore aggiunto al suo business ed essere al suo fianco nella gestione dei rischi per il miglioramento delle prestazioni aziendali. La protezione dei dati aziendali dalle minacce interne ed esterne è al centro delle attenzioni che dedichiamo nello svolgimento dell’attività di analisi dell’infrastruttura informatica del cliente.

Più specificatamente, vengono offerti servizi relativi alle tematiche di seguito indicate:

  • Sicurezza IP
  • VPN di livello 2 e 3
  • Integrazioni di reti IP e non IP
  • Videoconferenza su reti IP
  •  Realizzazione reti wireless
  • Assistenza su sistemi di reti
  • Monitoraggio e statistiche di rete
  • Ottimizzazione della rete e del relativo traffico

Privacy:

Indicazioni sulle principali attività da svolgere relative al trattamento dei dati personali.

Si tratta di servizi organizzativi, gestionali, procedurali ed informatici specialistici in materia di privacy (complessivamente “Progetto”) finalizzati a consentire ai titolari del trattamento (siano essi soggetti pubblici o privati) di rispettare pienamente tutti i vincoli normativi di settore previsti dal decreto legislativo 30 Giugno 2003, n. 196 recante il Codice sulla protezione dei dati personali (di seguito anche “Codice della privacy” o “Codice”) e sanzionati – in ipotesi di violazione – sia sul piano civile, che su quello amministrativo e soprattutto penale.

Fornire alla struttura interessata servizi specialistici di carattere procedurale e tecnico-sistemistici per adeguamento delle attività al codice della privacy attraverso i seguenti punti obbiettivo:

La realizzazione della documentazione privacy comprende:
  • la definizione dei testi dei documenti;
  • l’individuazione dei soggetti a cui i documenti devono essere indirizzati;
  • la definizione di modalità e procedure di raccolta e distribuzione dei documenti;
  • la definizione delle procedure di aggiornamento dei documenti.

Il risultato dell’intervento è il completo adeguamento agli obblighi previsti dalla normativa privacy circa la documentazione obbligatoria.

Le procedure privacy vengono adeguate e definite con la finalità di garantire alla struttura del titolare del trattamento che dette procedure siano:
  • adeguateallastrutturaaziendale e corrispondentiallefunzioni;
  • disempliceapplicazionenell’otticadellamassimasemplificazione;
  • chiaramentedocumentate in maniera personalizzata;
  • semplicemente manutenibili nel tempo;
  • caratterizzatedalminimoimpatto sui costi.
La definizione di un’insieme di misure di sicurezza adeguate agli obblighi di protezione dei dati personali trattati mediante strumenti informatici o in via manuale è un obbligo fondamentale previsto dalla normativa. In particolare, deve essere assicurata la piena attuazione delle misure minime di sicurezza obbligatorie previste dal Disciplinare Tecnico allegato Bal Codice della Privacy.
La definizione e la realizzazione di un piano di formazione periodico, comunque non più richiesto come obbligatorio dalla normativa, resta senz’altro opportuno ed è rivolto a tutti gli incaricati del trattamento. La formazione riguarda: i contenuti della normativa, le misure di sicurezza da rispettare ed i comportamenti coretti da adottarsi a cura  degli incaricati del trattamento anche alla luce delle procedure adeguate nell’ambito del Progetto. La pianificazione prevede: la definizione degli strumenti formativi, la tempistica degli interventi per gruppi di incaricati, la documentazione della pianificazione e dello svolgimento delle attività di formazione
La metodologia sulla quale si basa il Progetto di adeguamento al Codice della privacy prevede differenti fasi.
  • Fase 1 – Pryvacy “Assessment”
    Analisi documentale procedurale
    Analisi informativa
  • Fase 2 – Adeguamento e messa in conformità
  • Fase 3 – Attività di “manutenzione” della conformità

 

Fase 1  Privacy “Assessment”

Analisi doculementale e procedurale

Individuazione e classificazione della tipologia di dati personali trattati, delle relative banche dati ed archivi, delle modalità e finalità di trattamento, delle procedure in essere, dell’ambito di comunicazione e diffusione all’esterno dei dati stessi, dello stato di adeguamento agli aspetti legali delle misure minime di sicurezza, e più in dettaglio dall’allegato B del Codice della Privacy.

Analisi informatica

Individuazione dell’infrastruttura tecnologica, delle piattaforme informatiche e degli strumenti elettronici per la gestione e la protezione dei dati e delle informazioni. Individuazione delle vulnerabilità tecnologiche e procedurali presenti e il loro fattore di criticità, in linea con quanto richiesto dal Testo Unico e in particolare dalle misure minime ed idonee di sicurezza e più in dettaglio dall’allegato B del Codice della Privacy. Ciò avverrà per il tramite di questionari consegnati a specifiche e rilevanti funzioni aziendali e di successive interviste con i responsabili degli uffici più rappresentativi che, in ragione dei loro compiti, sono preposti al trattamento dei dati.

Fase 2 - Adeguamento e messa in conformità

Sulla base dei risultati emersi nella Fase 1, si darà avvio alle attività di messa in conformità che, a titolo esemplificativo, potranno consistere in:

  • predisposizione dei modelli d’informativa – e relativo consenso ove necessario – in relazione alla natura e finalità dei trattamenti  operati dal titolare del trattamento;
  • predisposizione degli atti di nomina (Responsabili, Incaricati,  Amministratori di sistema, etc);
  • predisposizione di procedure destinate a fornire ai Responsabili ed agli Incaricati istruzioni chiare e precise sulle modalità di trattamento dei dati personali effettuato in ragione delle mansioni specificamente affidate, in conformità alle disposizioni di legge ed agli orientamenti dell’Autorità Garante per la privacy;
  • predisposizione delle clausole “privacy” all’interno dei modelli contrattuali nei rapporti tra il titolare del trattamento ed i terzi in genere;
  • assistenza, ove necessario, nelle attività di richiesta di autorizzazioni al Garante, effettuazione della notifica;
  • predisposizione di quanto necessario in caso di trasferimento all’estero di dati personali verso extra UE;
  • attività di informazione e formazione dei responsabili e degli incaricati;
  • previa individuazione dell’infrastruttura tecnologica e degli strumenti elettronici per la gestione e la protezione dei dati e delle informazioni, nonché delle vulnerabilità tecnologiche e procedurali presenti, applicazione delle misure minime di sicurezza di cui all’Allegato B.

Fase 3  Attività di “manutenzione” della conformità

Il Codice della privacy impone, a chi voglia farne una reale corretta applicazione, che il livello di adeguamento raggiunto venga mantenuto nel tempo, assicurando la piena autonomia del titolare del trattamento nelle attività gestionali quotidiane. Qualora il cliente fosse interessato, può essere fornita anche un’attività di “Mantenimento” della conformità che può prevedere:

  • la cosiddetta Privacy check-up: l’attività è volta a verificare, almeno  una volta l’anno, se la modulistica fornita o le procedure predisposte corrispondono ancora alle mutate esigenze del cliente, se risultano correttamente applicate e se, infine, possano ritenersi adeguate in funzione dell’evoluzione normativa.  All’esito di tale attività, verrà consegnata una relazione attestante lo stato di attuazione della normativa e le eventuali attività necessarie per la messa in conformità;
  • l’aggiornamento sulle principali novità in materia, anche attraverso l’invio di Newsletter periodica;
  • un intervento annuale di formazione al personale interessato in materia di trattamento dei dati personali;
  • predisposizione delle clausole “privacy” all’interno dei modelli contrattuali nei rapporti tra il titolare del trattamento ed i terzi in genere;
  • assistenza, ove necessario, nelle attività di richiesta di autorizzazioni al Garante, effettuazione della notifica;
  • predisposizione di quanto necessario in caso di trasferimento all’estero di dati personali verso extra UE;
  • attività di informazione e formazione dei responsabili e degli incaricati;
  • previa individuazione dell’infrastruttura tecnologica e degli strumenti elettronici per la gestione e la protezione dei dati e delle informazioni, nonché delle vulnerabilità tecnologiche e procedurali presenti, applicazione delle misure minime di sicurezza di cui all’Allegato B.
Per la più efficace riuscita del Progetto di adeguamento, è opportuno che il titolare del trattamento cooperi con i consulenti incaricati. Più in particolare, si rende necessario che il titolare provveda a indicare ai consulenti un referente interno che assuma il ruolo di Capo progetto interno. Ciò per facilitare la concertazione con i consulenti di tutto quanto necessario al project management generale del Progetto (pianificazione degli interventi, organizzazione degli incontri, ecc.) Il Capo progetto interno dovrebbe inoltre coordinare la partecipazione alle varie fasi del Progetto dei vari Responsabili di Area, garantendone la partecipazione attiva alle riunioni, alla definizione della documentazione e delle procedure di proprio interesse e – infine – la diffusione da parte di ciascun Responsabile di Area della documentazione e delle procedure all’interno del reparto di interesse.
  • Privacy Team
    Il team Privacy è coordinato da un Consulente Privacy e Privacy Officer certificato TÜV Italia secondo lo schema UNI ISO 17024:2004.
  • ICT Team
    Il team ICT è coordinato da un Network Engineer con specialistica esperienza sistemistica nel campo del networking e della sicurezza delle comunicazioni.
Entrambe i team beneficiano di una esperienza ventennale nel trattamento e nella gestione della sicurezza dei dati.
.



Pinterest
TOP