L’adeguamento alle normative vigenti, che ogni organizzazione ha effettuato, necessita di una strategia di implementazione, mantenimento, evoluzione e miglioramento continui.
L’organizzazione dell’ente è in continuo mutamento, sia per le evoluzioni tecnologiche che per l’introduzione di nuovi processi organizzativi i quali, in alcuni casi, impongono nuovi trattamenti di dati. Le variazioni del contesto impongono quindi che il Titolare lavori incessantemente per
garantire la protezione dei dati attraverso misure sempre adeguate.
MVS eroga questo servizio in due fasi distinte di seguito descritte:
Fase di assessment e GAP analysis
Modalità di erogazione del servizio
– Analisi dello stato di attuazione attraverso la raccolta di dati e la definizione degli obiettivi (Minimi, Standard o Alti) da perseguire e i termini di attuazione degli stessi definendo le attività di messa a norma.
– Analisi Preliminare della struttura, dell’organizzazione e delle Unità Organizzative del cliente, ricognizione dei presidi già adottati in materia di Privacy, Auditing.
– Gap Analysis: individuazione dei gap rispetto ai requisiti posti dalla normativa.
– Privacy Risks Assessment, di natura legale ivi compresa la sicurezza informatica, dei principali adempimenti previsti dalla normativa individuando GAP, aree di miglioramento e indicazione di misure dei retention. Individuate e condividere con il cliente le attività di adeguamento per la risoluzione delle criticità riscontrate. A tal fine l’implementazione e l’adeguamento dei presidi alle prescrizioni del Regolamento riguarderanno ad esempio: rafforzamento diritto oblio, diritto accesso, diritto portabilità dati, accountability, privacy by design e privacy by default, registro trattamenti, data breach, valutazione di impatto;
Fase di mantenimento del sistema di gestione privacy
In questa fase MVS garantisce che i processi e le evoluzioni tecnologiche dell’utente siano sempre aderenti agli obblighi normativi. In particolare:
– Svolgere le attività necessarie alla compliance al Regolamento al fine di verificare gli impatti della normativa sull’assetto organizzativo e operativo del cliente in modo da pianificare le modifiche da attuare.
– Assistere e supportare il cliente nelle fasi di progettazione, attuazione e mantenimento di un percorso di adeguamento alla disciplina normativa dettata dal Regolamento, dalla prassi, dalle indicazioni del Comitato europeo ecc.
– Assistere e supportorare il cliente sotto il profilo legale e di sicurezza informatica in materia di trattamento dei dati personali al fine di consentire al cliente di adempiere agli obblighi previsti dal GDPR. Tale attività, anche attraverso la creazione di un portale documentazione, modelli e procedure, garantirà l’adeguamento dei processi e delle procedure aziendali e se necessario dei regolamenti interni; la redazione, l’aggiornamento, la revisione e l’integrazione della documentazione, la predisposizione di modulistica-tipo e documentazione-tipo; la predisposizione di documenti per la contrattualizzazione con terze parti; la gestione delle richieste di accesso. A titolo esemplificativo tale attività riguarderà l’adeguamento di: privacy policies, cookie policy, clausole contrattuali, informative agli interessati, consensi, atti di nomina dei responsabili e di autorizzazione dei dipendenti, deleghe, eventuali notificazioni al Garante, sicurezza sistemi informatici, trattamenti svolti tramite reti di comunicazione elettronica e tramite il sito web del cliente in collaborazione con il fornitore dei suddetti servizi.
– Formazione specifica e avanzata del personale dipendente del cliente in base al profilo ed alle mansioni affidate secondo le modalità previste dalla normativa, corredata da slide e documenti di approfondimento da distribuire ai partecipanti e con rilascio di attestato di partecipazione; Tale formazione deve assicurare una “manutenzione” idonea a garantire che il livello di adeguamento raggiunto dal suddetto personale possa essere mantenuto nel tempo e assicurando la piena autonomia del cliente nel trattamento dei dati.
– Supporto all’utente per l’analisi di situazione specifiche ed esecuzione di tutte le attività finalizzate a rendere il cliente compliance al Regolamento, condotta tenendo in considerazione la peculiare natura soggettiva del cliente quale ente pubblico ai sensi del D. Lgs 165/01 s.m.i e dunque soggetto a tutta la relativa normativa pubblicistica che deve essere letta in combinato disposto con la normativa a tutela dei dati personali, quale a titolo esemplificativo e non esaustivo la L.241/90 sm.i., il d.lgs 33/13 s.m. ivi compreso il supporto sulle modalità operative legate alla pubblicazione dei dati personali on line e la redazione degli atti amministrativi destinati alla pubblicazione.
– Ogni altra attività che si rendesse necessaria o, comunque, opportuna per un corretto e completo adempimento delle obbligazioni richieste dalla normativa vigente in materia.
Modalità di erogazione del servizio
– Definizione dello stato di applicazione.
– Supporto per l’approfondimento sulle modalità operative legate alla pubblicazione dei dati personali on-line e la redazione degli atti amministrativi destinati alla pubblicazione.
– Supporto per la revisione della documentazione di nomina dei responsabili e di autorizzazione dei dipendenti.
– Revisione ed eventuale modifica dei processi per la redazione dell’analisi di impatto privacy in caso di nuovi trattamenti e del Data Breach.
– Formazione generica al personale in ambito privacy e sicurezza.
– Supporto all’utente per l’analisi di situazioni specifiche.
– Portale documentazione, modelli, procedure.
