La Privacy Aziendale

Le nostre idee per i non addetti ai lavori

Privacy Quality propone attività di consulenza che hanno lo scopo di rendere i clienti del tutto autonomi nella gestione dei problemi ordinari che riguardano la privacy.

Cosa si intende per privacy in azienda

Per privacy tecnicamente si intende l'insieme delle regole definite dalla legge, che impongono di trattare i dati personali con precauzioni particolari allo scopo di proteggere la riservatezza di chi viene identificato, ossia l'interessato, tramite i dati personali trattati.

Queste regole sono state scritte nel decreto legislativo 196/2003 intitolato Codice in materia di protezione dei dati personali o più brevemente Codice Privacy.

Il Codice Privacy ha applicato la direttiva europea numero 58 del 2000 ed ha integrato la legge 675/1996, e  gli altri testi normativi correlati, sostituendola anche ampliando i poteri del Garante per la Privacy.

Il Garante per la Privacy è l'autorità indipendente che ha il compito di verificare l'applicazione del d.lg.196/2003 anche tramite attività ispettive della Guardia di Finanza. Sempre all'Autorità Garante per la Privacy spetta il compito di irrogare sanzioni amministrative per la violazione di norme del Codice Privacy e di fornire interpretazioni e pareri circa la corretta applicazione del d.lg.196/2003.

Cosa comporta la privacy per l'azienda

In via preliminare si può dire che le attività di adeguamento ai principi del decreto legislativo 196/2003 comportano il censimento di tutti i dati personali che l'azienda possiede. In particolare dei dati personali posseduti si deve valutare:

  • la provenienza che deve essere legittima ai sensi del Codice Privacy
  • le attività (trattamenti) che vengono svolte su questi dati personali
  • la presenza di misure di protezione adeguate sui dati personali detenuti ai sensi del Codice Privacy

A queste valutazioni indispensabili per ogni azienda, seguono quelle non meno importanti che puntano a rendere ogni operazione condotta sui dati personali, cioè ogni trattamento, adeguata ai principi del Codice Privacy.

Queste valutazioni / misure insistono: sui profili personali di chi esegue trattamenti di dati personali; sulla predeterminazione delle operazioni che ciascun profilo può eseguire sui dati personali (anche individuando le modalità con cui si devono effettuare i trattamenti dei dati personali); insistono pure sull'individuazione di una struttura aziendale che abbia il compito di verificare il rispetto e l'efficacia delle regole prestabilite. 

Naturalmente tutto ciò comporta anche una necessaria riorganizzazione delle unità operative che trattano i dati adeguando i processi aziendali nel rispetto delle regole.

Mission

La Mission di Privacy Quality è quella di assistere i clienti nella gestione dei dati personali che trattano, sia adeguando il processo produttivo alle cicliche esigenze del d.lg. 196/2003, sia rendendo il trattamento un procedimento assimilato, efficiente, efficace e con margini di rischio calcolati e tollerabili.

Per assistere i propri partner, quando necessario, Privacy Quality non si limita alle tradizionali attività di adeguamento, ma analizza trasversalmente l'attività dell'azienda per migliorare:

  • gli aspetti metodologici organizzativi
  • la sicurezza dei sistemi informativi
  • gli apparati di  gestione del rischio attinenti alla struttura
  • l'efficienza con il cliente interno e l'efficacia nei confronti del cliente esterno
  • la formazione della dirigenza aziendale tramite interventi formativi mirati a sviluppare competenze specifiche per acquisire sempre maggiore autonomia direttiva
  • la formazione del personale dell'azienda: curando gli aspetti formativi obbligatori per legge in ottemperanza della regola 19.6 dell'Allegato B; coordinando e pianificando moduli formativi per l'addestramento specifico dei ruoli di incaricati e responsabili

Vision

L'esigenza di Privacy Quality  è quella di andare oltre per:

  • rendere gli ostacoli occasione di crescita sapendo superarli in modo corretto
  • integrare gli sforzi del team in modo da generare le sinergie che rendono ogni componente essenziale  e al tempo stesso non esclusivo custode delle proprie competenze
  • ideare le strategie uniti per poterle realizzare anche divisi, poiché non servono sovrapposizioni nei ruoli operativi
  • trovare soluzioni capaci di concretizzare le procedure esistenti, al fine di applicare le leggi non solo nella forma ma soprattutto nella sostanza

Posizionamento

Privacy Quality si rivolge ad aziende medie e grandi che nell'adeguamento alla normativa vedono un'opportunità per rendere più economica una parte significativa del loro processo produttivo. 

Privacy Quality si rivolge soprattutto ad aziende che non cercano soluzioni preconfezionate ma che desiderano ricercare con i componenti del team Privacy Quality le soluzioni più adatte alla propria realtà operativa.

La nostra offerta

Il gruppo di Privacy Quality segue le attività di adeguamento dell'azienda fin dalle fasi iniziali, in particolare fornisce assistenza per le attività di censimento dei dati personali e valutazione sui trattamenti trasferendo le conoscenze e gli strumenti necessari agli uffici preposti a tale attività; inoltre Privacy Quality lavora insieme alle funzioni direttive aziendali perché sia assicurato al trattamento dei dati personali non solo il necessario livello di adeguatezza alla normativa ma anche uno standard qualitativo che renda tale attività il più efficiente ed economica possibile.

Questo significa che anche le attività obbligatorie per legge, come la redazione del Documento Programmatico sulla Sicurezza (da adottare obbligatoriamente entro il 31 dicembre 2005) o la designazione di soggetti Responsabili o Incaricati del trattamento di dati, vengono svolte nell'ottica di aiutare l'azienda nella costruzione di strumenti utili per migliorare il proprio processo operativo.

Le consulenze privacy spesso vengono elaborate autonomamente dai consulenti, senza coordinazione con le aziende (cfr. Figura 2). Se da un lato questo alleggerisce le attività per i clienti dall'altro rispetta solo apparentemente le norme del Codice Privacy e rischia di creare procedure che restano lettera morta e comportano facilmente delle violazioni sanzionabili della riservatezza.

A seconda delle scelte strategiche dei clienti il team Privacy Quality lavora nelle aziende per sviluppare funzioni di Internal Auditing con competenze specifiche nell'ambito della privacy.

A queste attività di assistenza a precisi compiti operativi del cliente, Privacy Quality esegue anche attività di verifica dell'adeguamento. Nell'eseguire queste attività il team si muove in autonomia analizzando i trattamenti dell'azienda e confrontando i risultati delle indagini con la dirigenza per ricercare soluzioni agli eventuali problemi riscontrati.

La consulenza Privacy Quality

Lo schema inserito qui sotto riassume i principi che il gruppo applica svolgendo attività di consulenza: assistenza e supporto alle funzioni di organizzazione aziendale e non sostituzione alle funzioni operative

figura1

La consulenza tradizionale

Lo schema più frequentemente utilizzato nella consulenza in materia di privacy prevede che un soggetto esterno si faccia carico di un'area di criticità aziendale, fornendo gli strumenti e le competenze necessarie e indispensabili richiesti (cfr. figura 2). Tuttavia, frequentemente, risolvere tale criticità specifica vuol dire non risolvere il problema alla radice. Una delle soluzioni più efficaci che sono state studiate è la creazione di un'attività di auditing ad hoc sulla privacy. Tale attività deve essere effettuata internamente dall'azienda stessa quando dimensioni e rilevanza relativa alla privacy lo rendono conveniente e necessario.

Se invece le attività di consulenza ed adeguamento continuano a limitarsi alla soluzione dei problemi più urgenti senza un'analisi di tutto il processo produttivo aziendale, si rischia di avere una disarmonica attività di adeguamento, che se prolungata nel tempo provoca immancabilmente dei danni all'azienda.

figura2

Nello schema illustrato tuttavia permane una dipendenza dal consulente che impedisce all'Azienda di sviluppare autonomia in un'attività che non potrà interrompere e che ciclicamente richiederà attività di aggiornamento. Facilmente questa relazione si traduce in una mancata crescita dell'Azienda.


Alcuni dei nostri servizi

Forniamo esperienza e consulenza ritagliata sulla vostra realtà per assistervi nelle seguenti attività:

  • Notificazione ed altri obblighi preliminari
    • valutazione dei dati trattati volta all'esclusione o esecuzione della notificazione, autorizzazione, comunicazione preventive al Garante
    • eventuali attività conseguenti
  • Informative, Consensi e diritti dell'interessato
    • predisposizione delle informative e dei consensi
    • corretta attivazione / gestione di un presidio per il riscontro del diritto di accesso
  • Responsabili privacy e Incaricati al trattamento
    • corretta distribuzione delle responsabilità, sia interne che esterne; predisposizione / revisione delle lettere di nomina a responsabile “privacy” comprensive di istruzioni
    • predisposizione lettere di incarico (interni / esterni) privacy con relative istruzioni
    • predisposizione delle istruzioni operative per i responsabili e per gli incaricati per le differenti tipologie di attività, contenenti le indicazioni pratiche da seguire per il corretto trattamento dei dati ed il rispetto dei protocolli e delle policy di sicurezza interne adottate
    • verifica delle misure minime di sicurezza dei soggetti esterni (regola 19.7)
    • individuazione dei ruoli per le attività di audit - ex. Art 29
  • Ricognizione degli elementi per la predisposizione del Documento Programmatico sulla Sicurezza
    • ricognizione dei trattamenti dei dati
    • ricognizione delle banche dati
    • ricognizione dei rischi che incombono sui dati
    • ricognizione degli strumenti informatici per il trattamento
    • ricognizione degli incaricati al trattamento
    • ricognizione delle responsabilità privacy
    • ricognizione dei soggetti esterni
    • ricognizione regole adottate dai Sistemi Informativi (lato amministrazione e lato utente)
  • Documento Programmatico sulla Sicurezza (parte del Manuale Privacy)
    • studio degli elementi acquisiti in fase di ricognizione volto alla redazione del Documento Programmatico sulla Sicurezza
      • analisi dei rischi e relativa individuazione di contromisure
      • analisi dei trattamenti
      • analisi delle banche dati
      • analisi dei soggetti esterni (con accesso ai dati)
      • analisi strumenti informatici per il trattamento
      • analisi e profilazione degli incaricati
      • analisi delle policy dei sistemi informativi
    • redazione / integrazione delle normative interne inerenti al trattamento dei dati personali
    • predisposizione del Documento Programmatico sulla Sicurezza
  • Policy dei sistemi informativi (parte del Manuale Privacy)

    Assistenza per la definizione delle regole volte alla protezione dei sistemi informatici:

    • redazione del documento nel quale dovranno essere specificati anche i seguenti ambiti:
    • l'insieme dei beni da proteggere (risorse hardware, risorse software, dati, risorse professionali, documentazioni cartacee, supporti di memorizzazione)
    • i rischi che incombono sui beni identificati
    • il livello di protezione voluto
    • le misure di sicurezza che compongono l'insieme di contromisure,
    • le politiche sulla gestione del rischio
    • le politiche relative alla sicurezza fisica, logica e organizzativa, nonché quelle relative ai piani di continuità operativa
    • le misure organizzative prescelte per la verifica della sicurezza dei sistemi informativi automatizzati, con particolare riferimento al monitoraggio delle stesse, alle procedure di controllo nonché alle strategie di audit sulle misure adottate.
    • le misure volte all'introduzione e alla diffusione della cultura della sicurezza informatica nell'azienda.

    Soltanto un atteggiamento attivo e non reattivo dei responsabili dei sistemi informativi e di tutti gli amministratori di sistema potrà contribuire al miglioramento costante delle procedure operative di sviluppo per la gestione della sicurezza.

  • Privacy Audit, EDP Audit e revisione periodica
    • pianificazione di interventi Privacy Auditing, EDP Auditing e revisione periodica
    • verifiche a campione di secondo livello
    • analisi dei report delle verifiche effettuate dall'azienda

Per una verifica preliminare dell'adeguamento offriamo gratuitamente un questionario di auto diagnosi