Responsabile Protezione Dati - Attività di Responsabile della Protezione dei Dati (RPD, altrimenti denominato Data Protection Officer, DPO)
Tra gli obblighi di legge, per alcune categorie di enti e tipologie di trattamenti è prevista la nomina obbligatoria di un Responsabile della Protezione dei Dati (RPD). Tale figura, le cui competenze, mansioni e responsabilità sono previste specificamente dagli artt. 37-39 del Regolamento Europeo 2016/679, svolge un ruolo di supporto al titolare e sorveglianza della corretta applicazione del GDPR, oltre che da punto di contatto per l’Autorità Garante della Privacy per qualsiasi questione connessa ai trattamenti di dati effettuati dall’ente. Tali attività possono essere effettuate da soggetti interni o esterni; è prevista inoltre la possibilità di costituire un ufficio strutturato per lo svolgimento dei compiti stabiliti. In ogni caso, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di RPD mediante specifico atto di designazione. Il gruppo di lavoro Per poter supportare adeguatamente gli enti, abbiamo costituito un ufficio composto da professionisti con competenze normative, tecnologiche e organizzative, in grado di garantire una presenza capillare sul territorio e fornire il supporto necessario in ogni specifico contesto. Lo staff è composto da soggetti con una pluriennale esperienza nel settore della pubblica amministrazione e conoscenze nell’ambito privacy e data protection, che si estendono a contesti strettamente correlati come la dematerializzazione documentale, l’analisi dei processi, la trasparenza amministrativa, la comunicazione on line e l’accessibilità web, la sicurezza informatica e l’analisi del rischio. É prevista una figura di capo progetto che verrà designato Responsabile della Protezione dei Dati e coordinerà le attività presso gli enti; tale soggetto fungerà da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, come previsto dall’art. 39 del GDPR. La persona che svolgerà tale ruolo ha una pluriennale esperienza nel settore della Pubblica Amministrazione, occupandosi nello specifico di affiancamento agli enti sui temi della privacy e protezione dei dati, gestione dei sistemi informatici e sviluppo di progetti ad alta innovazione tecnologica; Inoltre lo stesso sarà affiancato da un gruppo di lavoro costituito da esperti privacy, esperti in sicurezza informatica, esperti in organizzazione ed esperti IT. Tutti i componenti del gruppo di lavoro hanno diversi anni di esperienza nel settore della pubblica amministrazione. Tali soggetti, in caso di specifiche necessità, possono essere affiancati da personale che lavora quotidianamente presso enti pubblici, con diverse certificazioni tecniche e di project management. Attività previste nel servizio di DPO Per lo svolgimento dei compiti definiti all’art. 39 del GDPR, sono previsti nello specifico:
Informazione e consulenza per il titolare del trattamento e i soggetti da esso autorizzati in merito agli obblighi derivanti dalle normative in tema di protezione dei dati personali;
2 audit annuali per la verifica del livello di adeguamento dell’ente alla normativa, con valutazione delle misure in essere e di quelle da adottare;
Supporto al titolare per la redazione di analisi di impatto privacy (Privacy Impact Assessment, PIA);
Webinar di aggiornamento sui temi più rilevanti della privacy e la data protection
Qualora l’ente abbia provveduto altrimenti alla messa a norma, il costo per l’attività di DPO sarà maggiorato per il necessario svolgimento di un intervento di assessment preventivo, per verificare la situazione in essere.
Servizio di adeguamento e mantenimento privacy
Gli attuali adempimenti normativi nazionali ed europee impongono agli enti pubblici l’adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio dei trattamenti di dati effettuati. In particolare, il Regolamento UE 2016/679 (denominato GDPR) che ha trovato piena attuazione nel maggio 2018 e la circolare 2/2017 di AgID impone già l’adozione di una seria di misure ICT per garantire la sicurezza delle informazioni. L’adeguamento che ogni organizzazione ha effettuato per operare in aderenza alle indicazioni e prescrizioni normative relative alla protezione dei dati personali ha comportato la creazione di un sistema di gestione strutturato (composto da ruoli, responsabilità, documentazione, regolamentazione, processi di lavoro, strumenti, registrazioni etc,) che necessita di continuo mantenimento, evoluzione e miglioramento. Le attività previste per il mantenimento del sistema in tema di protezione dei dati personali sono le seguenti: a) Definizione dello stato di applicazione e definizione delle possibili evoluzioni e miglioramenti L’attività consiste nell’analisi dello stato di attuazione ed implementazione del sistema di gestione privacy dell’organizzazione e l’indicazione di possibili scenari di evoluzione e miglioramento. b) Supporto per l’approfondimento sulle modalità operative legate alla pubblicazione dei dati personali on-line e la redazione degli atti amministrativi destinati alla pubblicazione L’attività comprende l’analisi delle modalità di pubblicazione dei dati on line da parte dell’ente – sul sito istituzionale, all’albo pretorio e alla sezione “amministrazione trasparente” – con un successivo incontro presso l’ente di 4 ore con i responsabili interni per approfondire i temi della pubblicazione dei dati personali on-line e la redazione degli atti amministrativi destinati alla pubblicazione. c) Supporto per la revisione della documentazione di nomina dei responsabili, degli autorizzati L’attività comprende 1 incontro annuale di 4 ore con i responsabili interni per rivedere le modalità di nomina dei responsabili esterni e degli incaricati, approfondendo le modalità di lavoro ordinarie ed i casi specifici. d) Revisione ed eventuale modifica dei processi per la redazione dell’analisi di impatto privacy in caso di nuovi trattamenti e di Data Breach L’attività consiste nella revisione ed eventuale modifica del processo di Analisi di Impatto Privacy e del processo di Data Breach in base alle modificate esigenze dell’ente. e) Formazione generica al personale in ambito privacy e sicurezza L’attività consiste in 2 sessioni formative di 3,5 ore da svolgersi presso la sede dell’ente.
Tali incontri, a scelta dell’ente, potranno vertere su seguenti temi:
Obblighi e responsabilità derivanti dal trattamento dei dati personali
Politiche e modalità di lavoro adottate dall’Ente in tema di protezione dati personali per tutto il personale
Rischi e Misure di sicurezza
Pubblicazione dati personali on-line e redazione degli atti amministrativi
Altri specifici temi concordati con l’Ente.
f) Supporto all’ente per l’analisi di situazioni specifiche L’attività consiste nel supporto all’Ente per analizzare ed approfondire specifiche esigenze o situazioni che si presenteranno. Le richieste di supporto gestite tramite sistema di ticketing ed effettuate da remoto. g) Servizio newsletter informativa GDPR Per tutta la durata del canone il servizio prevede l’invio periodico di newsletter informative di approfondimento sui temi maggiormente di interesse e le novità. h) Portale documentazione, modelli, procedure Per tutta la durata del canone il servizio prevede la diponibilità di un portale ad accesso controllato contenente materiale
Esempi atti
Esempi modelli nomine responsabili esterni
Esempi clausole contrattuali in tema di protezione dati
Esempi modelli informative
Esempi modelli nomina autorizzati
Webinar registrati e sempre disponibili per la visione
Esempi di procedure operative
Documentazione di approfondimento
Richiedi preventivo