GDPR per la Pubblica Amministrazione

Il GDPR per la Pubblica Amministrazione prevede adempimenti quali la creazione del registro delle attività di trattamento, la procedura per la notifica delle violazioni dei dati personali, la valutazione di impatto da violazioni (DPIA) e la nomina del DPO.

Per rispettare gli adempimenti individuati dal GDPR, la Pubblica Amministrazione è tenuta a creare il registro delle attività di trattamento. Dopo che è stata avviata la procedura per la notifica delle violazioni dei dati personali – ciò che è noto con il nome di data breach – si può proseguire con la valutazione di impatto da violazioni (a cui si fa riferimento con la sigla DPIA, data protection impact assessment).

Fase 1 – Privacy Assessment per la Pubblica Amministrazione

Nel dettaglio, il primo step da seguire include un privacy assessment che presuppone una mappatura dei ruoli e dei trattamenti, in conformità alle disposizioni incluse nel GDPR. Devono essere rilevate le informazioni che riguardano le categorie dei dati trattati, le finalità del trattamento, le misure di sicurezza previste per la protezione dei dati, i destinatari delle comunicazioni dei dati e le categorie dei soggetti interessati.

Fase 2 – Organizzazione Privacy e PIA

In seguito, si procede con la definizione del modello organizzativo privacy in funzione delle informazioni che sono state ottenute in precedenza; in particolare è necessario identificare le figure della Pubblica Amministrazione che sono coinvolte nel trattamento dei dati, dai responsabili ai titolari, per attribuire loro le responsabilità e i ruoli relativi. Quindi è la volta del disegno dei processi di PIA – privacy impact assessment, di privacy by design, privacy by default e di notifica dei data breach.

Fase 3 – Trattamento del rischio e DPO

La terza fase è quella di implementation and data protection management: si tratta di predisporre i servizi per le attività dei responsabili del trattamento, per la gestione delle procedure di data protection e la loro manutenzione e per la definizione dei piani di trattamento del rischio. Inoltre, vanno predisposti i servizi per l’esecuzione del privacy impact assessment e dell’audit privacy, così come quelli per l’erogazione della threat intelligence e per l’attività del DPO, cioè il data protection officer.

Fase 4 – Revisione dei processi Privacy

Una volta che i flussi di dati sono stati mappati, che la struttura organizzativa per la protezione dei dati è stata definita, che le policy e i processi sono stati identificati, non rimane che gestire il sistema di protezione in via continuativa della Pubblica Amministrazione, insieme con gli obblighi di protezione: per conseguire tale obiettivo occorre effettuare la revisione periodica delle procedure e dei processi privacy.

Fase 5 – Audit Privacy

Nel dettaglio, è necessario attivare il processo di audit Privacy della Pubblica Amministrazione, e cioè di verifica, degli adempimenti imposti dal GDPR, per accertarsi che siano state adottate tutte le misure organizzative e tecniche previste: tra questa non vanno dimenticate le documentazioni e le registrazioni necessarie a provare che sia stato applicato e rispettato il principio di accountability dei responsabili e del titolare.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
GDPR per la Pubblica Amministrazione
Titolo
GDPR per la Pubblica Amministrazione
Descrizione
Il GDPR per la Pubblica Amministrazione prevede adempimenti quali la creazione del registro delle attività di trattamento, la procedura per la notifica delle violazioni dei dati personali, la valutazione di impatto da violazioni (DPIA) e la nomina del DPO.
Autore
Publisher
Energia Crescente
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *