GPDRPREMESSA

Ogni elemento contenuto in questo documento è stato elaborato, creato e predisposto in conformità alle nuove disposizioni in vigore al regolamento GDPR, ogni dato è stato misurato con il pieno rispetto della legittima realtà presente alla data di creazione del suddetto documento di comune accordo con il DATA CONTROLLER (POLGE VINCENZO) e il DATA PROCESSOR.
Le valutazioni, i rimedi e le condizioni che emergono sono connessi al principio della buona fede e della diligenza nell’attuare tutti i processi utili che vengono e verranno predisposti per renderne minima la probabilità di accadimento di eventi negativi.
La conservazione ed il trattamento del dato creato ed evidenziato nelle relazioni sottostanti determinano il PIA aziendale (Privacy Impact Assessment = censimento degli impatti privacy), in cui si vuole valutare la rischiosità complessiva, le azioni intraprese e da intraprendersi creando un documento che fotografa la situazione corrente.
Il nostro PIA nasce con un piano interno in cui viene stabilito in quale modo verrà mitigato il singolo rischio, coloro che sono incaricati di operare in tal senso e la gestione utile prevista per l’attività. La mitigazione del Rischio, la privacy by design e gli strumenti di sicurezza utilizzati per il trattamento del dato personale vogliono diventare per l’azienda un’importante base per l’approccio al Sistema Privacy. Questo planning operativo è e sarà costantemente monitorato, avrà impatto sul Privacy Impact Assessment in cui andremo ad evidenziare i miglioramenti ottenuti e le eventuali ulteriori rischiosità subentrate nel corso dei periodi di esercizio.
Grazie ai nostri fornitori ci siamo dotati di un sistema informatico atto a censire, valutare, monitorare lo stato di rischio e implementando automaticamente il reporting necessario e le  comunicazioni operative per le varie risorse.
Il nostro PIA è disegnato per raggiungere tre obiettivi:
Garantire la conformità con le normative, e requisiti di politica legali applicabili per la privacy;
Determinare i rischi e gli effetti che ne conseguono;
Valutare le protezioni e eventuali processi alternativi per mitigare i potenziali rischi per la privacy.

SISTEMI DI SICUREZZA PRESENTI IN AZIENDA

I Dati Aziendali sono un patrimonio fondamentale e vanno protetti con la massima attenzione e prevenzione. Solitamente riguardano informazioni di basilare importanza per il proprio business. Il danneggiamento o la perdita anche parziale di alcuni di essi (dovuta a guasti delle apparecchiature, virus, spam, errori umani, furti, od altri eventi) può rappresentare un evento disastroso per l’azienda ed un grosso danno economico. Come noto la sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonché eventuali usi illeciti, dalla divulgazione, modifica e distruzione. Si include, quindi, la sicurezza del cuore del sistema informativo, cioè il centro elettronico dell’elaboratore stesso, dei programmi, dei dati e degli archivi. Questi problemi di sicurezza sono stati presenti sin dall’inizio della storia dell’informatica, ma hanno assunto dimensione e complessità crescenti in relazione alla diffusione e agli sviluppi tecnici più recenti dell’elaborazione dati; in particolare per quanto riguarda i data base, la trasmissione dati e l’elaborazione a distanza (informatica distribuita). In particolare non è da sottovalutare il rischio cui può andare incontro il trasferimento elettronico dei fondi tra banche oppure il trasferimento da uno Stato all’altro di intere basi di dati reso possibile dai moderni sistemi di trasmissione telematica. Riguardo l’aspetto “sicurezza” connesso alla rete telematica essa può essere considerata una disciplina mediante la quale ogni organizzazione che possiede un insieme di beni, cerca di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati. Un bene può essere un’informazione, un servizio, una risorsa hardware o software e può avere diversi modi possibili di interazione con un soggetto (persona o processo). Se, ad esempio, il bene è un’informazione, ha senso considerare la lettura e la scrittura (intesa anche come modifica e cancellazione); se invece il bene è un servizio, l’interazione consiste nella fruizione delle funzioni offerte dal servizio stesso.

Nell’ottica del regolamento europeo n. 2016/679 (GDPR) questo concetto di sicurezza informatica ha assunto un significato più attuale alla luce anche dei sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno. In particolare negli ultimi tempi si è assistito ad una rapida evoluzione della minaccia che possiamo definire “cibernetica” che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi. I pericoli legati a questo genere di minaccia sono particolarmente gravi per due ordini di motivi:
il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati;
il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.
La combinazione di questi due fattori fa sì che, a prescindere dalle misure minime di sicurezza previste dal nostro codice in materia di protezione dei dati personali, (antivirus, firewall, difesa perimetrale, ecc.) bisogna fare particolare attenzione alle attività degli stessi utenti che devono rimanere sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi. Ciò ovviamente comprende anche misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.
Per mantenere la sicurezza e prevenire trattamenti in violazione al GDPR, il Data Processor e il Data Controller  deve valutare anche il rischio informatico che può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena). Nel GDPR un chiaro riferimento alle misure di sicurezza già si trova nell’art. 22 quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di
dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). A questo riguardo SV SISTEMI DI SICUREZZA in accordo con i propri consulenti IT ha delineato negli anni una protezione perimetrale che posa garantire standard adeguati di sicurezza e a tal proposito dichiara che il patrimonio aziendale relativo alla sicurezza è elencato qui sotto.

REGISTRO DEI TRATTAMENTI

L’Art. 30 del Regolamento europeo in materia di protezione dei dati personali nello specifico il par. 4 dell’art. 30, per il quale “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”
L’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge. Obbligo che grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.
L’autorità di controllo (Garante) è, d’altro canto, l’ente pubblico che ha titolo per richiedere la disponibilità del registro, al fine di esaminarlo.
L’obbligo di redazione e adozione del registro non è, tuttavia, generale. Il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
La società SV SISTEMI DI SICUREZZA ha deciso tuttavia di attuare la redazione del registro come caldeggiato dal gruppo di lavoro Ex articolo 29 ispirandosi alle seguenti ulteriori finalità:
rappresentare l’organizzazione sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna; costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, tesa a garantire la loro integrità, riservatezza e disponibilità.