Analisi del rischio privacy e misure di prevenzione

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al Titolare implementare una serie di misure -organizzative, fisiche, giuridiche, tecniche ed informatiche- volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole dei dati trattati.

Registro trattamento dati e analisi dei rischi

Ciascuna Struttura aziendale è dotata di un Registro dei trattamenti quale strumento dinamico predisposto e implementato a seconda delle esigenze e che prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato.

L'Azienda, inoltre, al fine di rafforzare il percorso di adeguamento al GDPR e contestualmente di facilitare la comprensione e il corretto utilizzo degli strumenti via via adottati quali elementi costitutivi del MOP, nonché per agevolare la diffusione di una cultura aziendale orientata al rispetto dei principi fondanti il GDPR, si è dotata, con decreto n. 116 del 10.08.2021, di un Registro generale dei trattamenti, nel quale viene dato atto di tutte le attività di trattamento e delle misure di sicurezza fisiche e organizzative comuni a tutte le strutture.

 L’analisi sui rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata sia dagli Amministratori di Sistema aziendali con appositi tool e check list (es. circolare Agid 2/2017) sia da professionisti esterni specializzati, che hanno effettuato un audit approfondito. Gli esiti dell’indagine hanno permesso ai tecnici aziendali di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.

Le misure -organizzative, fisiche, giuridiche, tecniche ed informatiche- programmate e attuate per abbattere i rischi “privacy” dell’interessato sono illustrate nell’apposita sezione del “Registro dei trattamenti” e nei relativi allegati informatici.

Ogni dipendente/collaboratore ha, altresì, ricevuto un regolamento interno sull’uso degli strumenti informatici e delle istruzioni e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione.
Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il Titolare eroga frequentemente corsi di formazione e aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.

Amministratori di sistema (Interni ed esterni)

Il Titolare utilizza sistemi informatici evoluti per gestire e organizzare la propria attività. Per tale ragione da sempre l’attenzione alla costruzione dei software e l’utilizzo e sicurezza dei dati sono alla base dell’attività prevalente del Titolare. Con decreto n. 188 del 28.06.2020 i soggetti con privilegi di “Amministratore” interni all’Azienda sono stati specificatamente nominati ed è stata approvata la relativa policy a cui gli stessi sono tenuti ad adeguarsi; è stato, inoltre, predisposto un elenco degli Amministratori con indicazione delle funzioni a essi attribuite e reso disponibile a tutti i dipendenti.

Anche le altre società esterne specializzate che accedono ai dati aziendali sono specificatamente nominate Responsabili esterni ai sensi dell’art. 28 del Reg. 679/16.
I fornitori di Servizi informatici esterni sono scelti con particolare attenzione alla professionalità non solo tecnica, ma anche del rispetto e della protezione dei dati, privilegiando società certificate ISO 27001.