Mappatura dati
La mappatura dei dati personali detenuti dall'organizzazione è un aspetto saliente della protezione dati, perché l'analisi dei flussi ed il registro dei trattamenti censiscono ed analizzano i trattamenti effettuati, i dati che vi sono sottoposti, la loro conservazione a riposo e le vie di transito.
Questa analisi è alla base di tutte le successive elaborazioni di dettaglio e corrisponde ad attività comprese nella funzione di identificazione del Cybersecurity framework NIST (NIST 2018).
Il Registro dei Trattamenti, la cui tenuta è resa obbligatoria dal GDPR in determinate circostanze, ma che è sempre consigliabile istituire e mantenere, è un elaborato i cui dettagli trovano riscontro in Analisi Flussi, dove vengono espressi i valori di sintesi delle principali verifiche a cui ogni trattamento viene sottoposto.
È possibile selezionare i trattamenti Attivi, Annullati o In Lavorazione, per mantenere uno storico che può tornare utile a ricostruire le soluzioni attuali adottate.
È anche possibile ordinare in modo diverso i trattamenti per Data,Responsabile, ecc.
La sezione comprende i seguenti manuali specifici:
Dati Personali
Poichè i dati personali sono alla base dell'intera normativa ci sembra opportuno riportare la definizione proposta dal "Garante per la protezione dei dati personali"
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Particolarmente importanti sono:
• i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);
• i dati rientranti in particolari categorie: si tratta dei dati c.d. "sensibili", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;
• i dati relativi a condanne penali e reati: si tratta dei dati c.d. "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Analisi flussi
La mappatura del flusso di dati è il passo successivo che ogni azienda deve compiere una volta conclusa l’analisi del gap. Con quest’analisi, l’organizzazione può scoprire quali gap sono presenti e i passi successivi da compiere per identificare i dati in suo possesso e come questi circolano.
Tutte le aziende devono essere a conoscenza di quali dati personali vengono trattati e in quali modalità secondo la legge. Molto spesso le aziende trattano più dati di quanti ne siano al corrente, ecco perché è importante effettuare la mappatura dei dati.
Registro dei trattamenti
La tenuta del registro dei trattamenti è prevista dall'articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.
Nella sostanza il registro deve consentire di identificare i soggetti coinvolti nel trattamento dei dati, le categorie dei dati trattati, per cosa sono utilizzati i dati, chi accede agli stessi, a chi vengono comunicati, per quanto tempo sono conservati e quanto sono sicuri.