Gli attuali obblighi normativi nazionali ed europei in tema di protezione dei dati impongono agli enti pubblici l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio dei trattamenti di dati effettuati. In particolare, il Regolamento UE
2016/679 (denominato GDPR) che ha trovato piena attuazione nel maggio 2018 e la circolare 2/2017 di AgID impongono l’adozione di una serie di misure ICT per garantire la sicurezza delle informazioni. MVS mette a disposizione una figura competente per prendere in carico la nomina di Responsabile della Protezione dei dati (il DPO).

Attività

– Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’unione o degli Stati membri relative alla protezione dei dati.
– Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
– Fornire consulenza in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35.
– Cooperare con l’autorità di controllo
– Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36.
– Effettuare, se del caso, consultazioni relativamente a qualunque altra questione
– Tenere ed aggiornare il registro del trattamento ed il registro delle violazioni
– Considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo

– Prendere in carico la nomina del DPO.
– Audit annuali per la verifica del livello di adeguamento dell’ente alla normativa, con valutazione delle misure in essere e di quelle da adottare.
Questi interventi sono finalizzati a verificare se il modello di gestione della privacy implementato presso l’ente è efficace o necessita di revisioni, attraverso la verifica degli interventi effettuati.
– Gestione degli interventi attraverso un sistema strutturato di ticketing. Alla base del principio di accountability previsto dal Regolamento è necessario documentare tutte le misure adottate e gli interventi effettuati. Per questo motivo, tutte le attività sopra descritte verranno raccolte in un sistema informatico messo a disposizione da MVS, attraverso diverse categorie di interventi:

•  Richiesti – verranno raccolte le richieste del personale dell’ente, a cui l’ufficio del Responsabile Protezione Dati fornirà risposta.
•  Documenti – verranno archiviati tutti i documenti relativi alle misure adottate dall’ente per garantire la messa in sicurezza delle informazioni: atti di organizzazione, configurazioni, regolamenti interni e disciplinari, verbali di riunioni ed audit, analisi di impatto privacy e tutto ciò che l’ente attuerà per garantire la sicurezza dei propri dati.
• Analisi di impatto privacy – verranno raccolte tutte le analisi di impatto privacy effettuate dell’ente.