soluzioni

GDPR, che deve fare la PA per la data protection: la guida

La PA deve allinearsi alle nuove disposizioni in tema di data protection introdotte dal GDPR. Ecco la strategia consigliata da seguire, in diverse fasi. A riguardo, Leonardo ha predisposto una struttura di GDPR readiness che può assistere la PA nell’adozione

04 Gen 2018
Alessandro Menna

VP Sales Technical Support Cyber Security & ICT Solutions, Divisione Security & Information Systems di Leonardo

privacy_405457639

Il Regolamento Europeo n. 679/2016 sulla protezione dei dati personali, noto come GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016, e diverrà direttamente applicabile dal 25 maggio 2018 (termine ultimo di adeguamento), abrogando la Direttiva 95/46/CE.

Il GDPR ribalta completamente la disciplina sulla privacy, incentrando il quadro normativo sulla responsabilizzazione del Titolare del trattamento (“accountability”), che dovrebbe essere in grado di dimostrare la propria conformità al Regolamento attraverso l’adozione di misure tecniche ed organizzative. Principi chiave rimangono la liceità del trattamento, possibile solo se l’interessato ha espresso un esplicito consenso, oltre che di proporzionalità, adeguatezza, pertinenza e non eccedenza dei dati rispetto alle finalità per cui vengono trattati.

Particolare rilevanza assumono, quindi, i diritti dell’interessato (Informativa sul trattamento; indicazioni sulla finalità del trattamento; eventuali destinatari/utilizzatori dei dati; ilperiodo di conservazione dei dati, la rettifica o cancellazione degli stessi; accesso ai dati; portabilità dei dati;diritto di opposizione).

Al fine di fornire una prima risposta agli orientamenti del Garante, la PA deve avviare con assoluta priorità:

  • la designazione del DPO (Data Protection Officer)
  • l’istituzione del Registro delle attività di trattamento
  • la procedura per la notifica delle violazioni dei dati personali (data breach)
  • la valutazione d’impatto da violazioni (DPIA – Data Protection Impact Assessment).

A supporto e completamento delle azioni prioritarie, Leonardo ha predisposto una struttura di GDPR readiness, che può assistere la PA nell’adozione di un Sistema di Governance della Privacy strutturato, in grado di garantire una gestione efficace ed efficiente dei requisiti normativi in ottica di continuo miglioramento. L’implementazione di un Sistema di Governance di questo tipo dovrà essere basata almeno su tre fasi operative.

La prima fase di GDPR – Assessment comprende un Privacy Assessment per effettuare, in particolare, una mappatura dei trattamenti e dei ruoli, al fine di ottemperare alle disposizioni previste dal GDPR, progettare l’implementazione di un Sistema di Governance della Privacy strutturato in grado di accrescere il livello di protezione dei dati, con riguardo alle categorie di dati particolari.

Le informazioni da rilevare riguardano le finalità dei trattamenti, le categorie degli interessati, le categorie di dati trattati, i destinatari di comunicazione di dati, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, i trattamenti in cui i dati sono comunicati a destinatari di Paesi terzi ovvero di organizzazioni internazionali, i ruoli e responsabilità per i trattamenti e le misure di sicurezza tecniche/organizzative adottate per la protezione dei dati.

Tali informazioni costituiscono le basi per ildocumento “Registro delle attività dei trattamenti di dati personali”,che costituirà l’elenco aggiornato di tutti i trattamenti effettuati dall’Amministrazione.

Nella seconda fase di GDPR – Design si procederà, sulla base delle informazioni acquisite nella precedente fase, a definire il Modello Organizzativo Privacy con l’individuazione delle figure coinvolte nel trattamento dei dati (Titolare, Contitolare, DPO, Responsabili, ecc..) e dei relativi ruoli e responsabilità nonché a disegnare  i processi diPrivacy by design e by default, Privacy Impact Assessment e Notifica dei Data Breach. Nel disegnare detti processi si valuteranno anche le tecnologie ed i servizi Cyber Security a supporto. Si pensi al riguardo ai servizi di sicurezza gestiti, ivi compresi quelli di Threat Intelligence volti ad assicurare una corretta e tempestiva notifica proprio dei Data Breach.

In particolare, il GDPR disciplina l’obbligo di assicurare che le misure adottate attuino efficacemente i principi di privacy by design (protezione dei dati fin dalla progettazione) e privacy by default (impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate).

Il GDPR prevede un approccio risk based. È necessario effettuare un Privacy Impact Assessment, ovvero una valutazione dei rischi per i trattamenti previsti. L’implementazione delle misure di sicurezza adottate terrà conto dell’analisi dei rischi e dei costi di attuazione, per organizzazioni anche complesse ed eventualmente armonizzato con il processo di Risk Management, se esistente.

Gli obblighi di notifica, salvo le esclusioni di legge, seguente a data breach vengono estesi a qualsiasi caso in cui vi sia violazione dei dati personali,con l’obbligo di darne comunicazione all’interessato, salvo limitazioni, nel caso in cui vi sia rischio elevato per i diritti e le libertà dello stesso.

Per ottemperare alla terza fase – GDPR – Implementation & Data Protection Management – occorre predisporre servizi per:

  • Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio
  • Gestione e manutenzione delle procedure di data protection
  • Attività del DPO e dei responsabili del trattamento
  • Esecuzione Audit privacy.
  • Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio
  • Erogazione servizi di sicurezza gestiti, di Threat Intelligence e di sicurezza applicativa volti a garantire il rispetto delle misure di sicurezza prescritti dall’art. 32 del GDPR.

Mappati i trattamenti ed i flussi di dati, definita la struttura organizzativa per la protezione dei dati, identificati i processi e le policy, occorre infine gestire in via continuativa il sistema di protezione e gli obblighi di protezione, attraverso la revisione periodica dei processi privacy e delle procedure.

E’ necessaria l’attivazione di un processo di verifica, denominato anche di Audit, degli adempimenti relativi al nuovo GDPR con particolare attenzione alla verifica di tutte le misure tecniche ed organizzative adottate, inclusa la documentazione, le registrazioni da conservare a prova del rispetto e dell’applicazione del principio di “accountability” del titolare e dei responsabili.

Ma come avviare questo percorso di adeguamento? Strumento tra i più agibili per la PA per attivare questa trasformazione radicale è la Convenzione SPC Lotto 2 – Servizi di Identità Digitale e Sicurezza Applicativa, che fornisce tutti gli elementi contrattuali per poter avviare da subito, tra gli altri servizi, il percorso di adeguamento al GDPR.

Molti Enti Centrali e Locali stanno lanciando Progetti dei Fabbisogni contrattualizzati in ambito SPC Cloud Lotto 2, utilizzando e configurando specifici servizi per il GDPR: Data LossPrevention, Servizi Professionali, RiskAssessment.

La PA si trova quindi ad affrontare l’adempimento normativo comunitario, con un’opportunità unica e irripetibile di rivedere completamente la propria strategia di trattamento dell’informazione, includendo politiche di data retention, conservazione digitale e ammodernamento in chiave digitale dei processi amministrativi.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati