Con il nuovo Decreto Legislativo 101/2018 (G.U. n. 205) in vigore dal 19 settembre 2018,  (vedi anche  l’articolo DECRETO GDPR su questo blog),  il Codice in materia di protezione dei dati personali (D.Lgs. 196/2013) è stato adeguato alle disposizioni del Regolamento UE 679/2016, il GDPR (General Data Protection Regulation) applicato nell’Unione europea dal 25 maggio scorso, volto ad assicurare la protezione dei dati delle persone fisiche e le regole per il loro trattamento da parte di soggetti terzi.

Il nuovo regolamento europeo in materia di protezione dei dati personali, altrimenti conosciuto con l’acronimo di GDPR (General Data Protection Regulation), prevede e incoraggia  (artt. 42 e 43 ) l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.

Per tale motivo è stato elaborato, sotto il coordinamento di UNINFO, Ente Federato all’UNI che lavora nell’ambito delle tecnologie informatiche e delle loro applicazioni, un nuovo schema di riferimento UNI/PdR 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)” che rappresenta una linea guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)

Essa si compone di due sezioni: la prima (UNI/Pdr 43.1) fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT); la seconda (UNI/Pdr 43.2) fornisce un insieme di requisiti che permette alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione.

Pur rimanendo la certificazione per il momento volontaria, e non ancora sufficiente a dimostrare la propria conformità al GDPR, tuttavia è stato riconosciuto dal Garante per la Privacy, che essa può costituire una garanzia della volontà di una organizzazione ad adeguarsi al GDPR nel suo percorso di trattamento dei dati personali

Lo schema che permetterà questo tipo di certificazione è dunque la UNI/Pdr 42.2 : 2018.

Esso è composto di requisiti che richiamano ovviamente gli articoli del regolamento Europeo, ma è strutturato in modo simile a quello della maggior parte dei sistemi di gestione come ad esempio la ISO9001; 2015 con la quale quindi diventa più facilmente integrabile.

La UNI/Pdr 42.2 : 2018 contiene quindi un elenco di “attività” per affrontare la protezione dei dati personali in ambito ICT in modo sistematico e organizzato.

Le principali indicazioni riguardano:

1.  PIANIFICAZIONE : che contiene indicazioni relative:

  1. 1.1 al Contesto e all’ Ambito della Protezione dei Dati personali (vedi anche l’articolo GDPR E ISO9001 2015 NEI SERVIZI: ANALISI DEL CONTESTO)
  2. 1.2 al Flusso dei dati : che consiste nel determinare, fra le atre cose, i processi in cui vengono trattati i dati                 personali
  3. 1.3 alle  Basi Legali : relative al trattamento dei dati personali
  4. 1.4 alla Politica per la Protezione dei Dati personali
  5. 1.5 ai  Ruoli e alle Responsabilità dove viene introdotta, oltre a quelle già previste dal GDPR, anche la figura del Manager Privacy: un membro dell’alta direzione come referente delle attività di trattamento
  6. 1.6 alla Gestione dei Rischi e degli Impatti sulla protezione dei dati
  7. 1.7 alla modalità di gestione dei Dati Personali by Design e by Default
  8. 1.8 alla Gestione delle Modifiche al sistema

2.  INFORMATIVE E CONSENSI : che contiene indicazioni relative

  1. 2.1 alla modalità di redigere e divulgare le informative legate alla Privacy
  2. 2.2 alla modalità per richiedere ed ottenere il consenso da parte degli interessati
  3. 2.3 alle indicazione sulla gestione della Protezione dei Dati Personali al fine di Minimizzarne l’uso, Conservarli e cancellarli in modo adeguato, ed impostazione di efficaci Misure di Sicurezza
  4. 2.4 all’ esercizio del Diritto degli Interessati con indicazioni per garantire l’accesso, la rettifica, l’eliminazione, la limitazione di trattamento, la Portabilità dei Dati, l’opposizione al trattamento, le decisioni automatizzate, la gestione dei Reclami e dei Ricorsi
  5. 2.5 alla Formazione e alla Consapevolezza per tutte le persone coinvolte nel trattamento dei Dati personali

3.  CONTROLLO : che contiene indicazioni relative :

  1. 3.1 agli Audit Interni
  2. 3.2 alla Relazione Periodica dove viene richiesto che L’alta direzione deve, a intervalli pianificati e almeno una volta all’anno, ricevere una relazione sulle attività di trattamento dei dati personali in ambito ICT
  3. 3.3  alle Non Conformità ed Azioni Correttive  dove si può confrontare quanto riportato nell’articolo GDPR E ISO9001 2015 NEI SERVIZI: MONITORAGGIO E MIGLIORAMENTO di questo blog

AVVIO DEL SISTEMA DI CERTIFICAZIONE GDPR

Nei giorni scorsi il Presidente del Garante per la protezione dei dati, Antonello Soro, e il Presidente di Accredia, Giuseppe Rossi, hanno firmato la convenzione volta a favorire le attività di accreditamento e certificazione previste dal Regolamento europeo.

Tale accordo prevede che Accredia comunicherà all’Autorità gli accreditamenti rilasciati, i ricorsi degli Organismi accreditati e le decisioni assunte, le scadenze dei certificati, i provvedimenti sanzionatori, l’elenco delle certificazioni e le relative revoche e sospensioni rilasciate dagli Organismi. Il Garante comunicherà ad Accredia gli aggiornamenti della normativa, le novità sugli schemi di certificazione approvati a livello nazionale ed europeo, nonché le informazioni su problematiche che potrebbero emergere da reclami pervenuti all’Autorità.

Questo vuol dire che sono state poste tutte le basi ed i presupposti per l’avvio delle attività di Certificazione delle Organizzazioni sulla base della loro conformità al Regolamento Europeo per la Protezione dei dati personali GDPR attraverso lo schema UNI/Pdr 42.2 : 2018

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Da oltre dieci anni inoltre mi occupo di argomenti legati al web ed alle vendite on line con particolare riguardo agli aspetti organizzativi, di comunicazione, di security e di Privacy Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply