La soluzione di supporto offerta dal nostro consorzio, GDP Cineca, copre le seguenti aree del GDPR: 

  •  Privacy by design e Privacy by default (art. 25)
  •  DPIA – Data Protection Impact Assessment (art. 35)
  •  Tenuta registro trattamenti (art. 30)
  •  Misure di sicurezza (art. 32)
  •  Richieste soggetti interessati (artt. 12, 13, 14)
  •  Notifica di violazioni (art. 33)
  •  Archivio consensi (art. 7)

 

L'applicativo risponde alle seguenti esigenze:

  • Registro dei trattamenti in qualità di Titolare del trattamento
  • Registro dei trattamenti in qualità di Responsabile del trattamento
  • Gestione degli asset: sedi, infrastrutture e strumenti di lavoro
  • Integrazione con la soluzione Cineca di gestione risorse umane, organigramma, ruoli e funzioni
  • Gestione dei rischi
  • Gestione DPIA
  • Registro degli accessi
  • Registro degli incidenti e dei data breach
  • Gestione mansionari e lettere di incarico
  • Strumento di document composition
  • Integrazione con la soluzione di Gestione documentale
 

Registro del Titolare e del Responsabile del trattamento

GDP Cineca consente la gestione dei registri in qualità sia di titolare sia di responsabile. La funzione si basa su una tabella dei soggetti coinvolti -titolari, responsabili esterni, DPO- e sull’associazione per ogni trattamento dei relativi soggetti con relativo ruolo. La tabella dei soggetti consente di raccogliere, oltre ai dati di contatto, informazioni aggiuntive utili anche ai fini della valutazione del rischio, come eventuali certificazioni o codici di condotta.

 

Gestione degli asset

La funzione Asset Inventory permette la completa gestione degli asset -server, database e applicazioni- dell’organizzazione, classificati secondo standard descrittivi riconosciuti, e di associarli a specifici trattamenti, uffici, ruoli o persone.

È possibile definire Access Control List (ACL) specifiche per diversi elementi di raggruppamento, come ad esempio sede o tipologia.

Ogni modifica agli asset è storicizzata ed è possibile percorrerne la situazione lungo un asse temporale, anche attraverso l’esportazione di documenti che fotografano le modifiche.

 

Gestione dei rischi

GDP Cineca ha un modulo di valutazione dei rischi che si basa su una serie di tabelle: tipologia del rischio, tipologia asset, eventi rischiosi, tipologia misure di sicurezza, misure di sicurezza, livelli di rischio, matrice rischio lordo, matrice rischio netto, elementi di score.

Il sistema consente di effettuare tre livelli di analisi del rischio:

1) analisi complessiva del rischio di contesto sui dati del trattamento: responsabili, asset, tipo dati, categorie soggetti interessati, numerosità soggetti interessati, modalità trattamento ecc.. Il sistema utilizza una tabella di scoring che censisce e parametrizza gli elementi che concorrono al calcolo del rischio del trattamento. La funzionalità consente di avere un primo livello di rischio, utile in particolare per capire la necessità di effettuare un DPIA o meno.

2) analisi rischio inerente o lordo: a questo livello sono indicate sono le minacce a cui un trattamento può essere soggetto. Indicando probabilità e impatto per ogni minaccia, il sistema calcola in automatico il livello di rischio lordo di quel trattamento attraverso la matrice di rischio lordo.

3) analisi del rischio residuo o netto: per ogni evento rischioso o minaccia, vengono indicate le misure di sicurezza adottate con il relativo livello di efficacia, in modo che si possa effettuare, attraverso la matrice del rischio netto, il livello di rischio residuo del trattamento.

Il sistema genera un prospetto generale con il dettaglio dei tre livelli di rischio e degli elementi che concorrono alla valutazione; se il trattamento è legato ad asset per i quali è stata già fatta l’analisi del rischio, il sistema eredita tale analisi. L’analisi del rischio fa riferimento a principi normativi e standard emanati da WP29, ISO, ENISA, CNIL.

 

Gestione DPIA

Per ogni trattamento è prevista la funzionalità DPIA che indica l’opportunità di procedere alla produzione di un Data Protection Impact Assessment (DPIA) per il trattamento stesso.

È possibile sottoporre il processo ad un workflow di lavorazione, con indicazione del responsabile del DPIA, e coinvolgere nella redazione soggetti differenti (IT, Sicurezza e Compliance). Tra le sezioni previste quella per l’inserimento del parere del DPO e quella di consultazione con il Garante. In automatico il sistema calcola la validità del DPIA in base al rischio; tutte le modifiche vengono storicizzate e viene creata una versione del DPIA. Dal cruscotto di visualizzazione viene verificato lo stato di lavorazione e la data di scadenza pianificata, nonché effettuata una eventuale revisione.

 

Gestione degli accessi

Funzione che permette di gestire e tracciare le richieste pervenute da parte di soggetti interessati. La funzione ha al suo interno un workflow che prevede la definizione degli stati di lavorazione della pratica e di profili abilitati.

La funzione consente di:

  • registrare i dati del soggetto richiedente e del documento di richiesta
  • allegare il documento di consenso
  • produrre schede informative dei trattamenti a cui il soggetto è associato
  • allegare documentazione con i dati specifici del soggetto in possesso del titolare
  • allegare la risposta finale inviata al soggetto richiedente
  • monitorare i giorni di lavorazione della pratica e attivare eventuali alert

 

Registro degli incidenti

Funzione che consente la gestione e la tracciatura degli eventi di violazione dei dati e prevede la definizione di stati di lavorazione e di profili abilitati.

Stati di lavorazione:

in lavorazione, valorizzato in automatico in fase di creazione della pratica

notificata al Garante, valorizzato in automatico se la violazione è stata notificata al Garante

notificata al Garante e ai soggetti interessati, valorizzato in automatico se la violazione è stata notificata al Garante e ai soggetti interessati

La funzione consente di:

  • registrare i dati generali della violazione (data, natura, eventuale id nel sistema di Incident Management)
  • produrre in maniera automatica i template per notificare al garante e ai soggetti interessati
  • allegare i documenti finali da inviare al garante e ai soggetti interessati
  • generare in modo automatico, in base ai trattamenti coinvolti, le informazioni relative a:
    • categorie dati
    • categorie soggetti interessati
    • utilizzo o meno di misure di sicurezza forti

 

Strumento di document composition

GDP Cineca mette a disposizione un modulo di document composition tramite il quale definire una serie di layout documentali predefiniti e utilizzabili all'interno della procedura sia in modalità on demand sia in maniera automatica (generazione lettera di incarico del responsabile esterno, generazione del modulo di notifica al garante per la violazione ecc.). Il sistema prevede un motore per l’invio di notifiche agli utenti che devono firmare o approvare i documenti. È possibile integrare nel sistema strumenti di firma digitale.

 

Integrazione con la soluzione di Gestione documentale (Titulus)

La soluzione prevede la possibilità di gestire il salvataggio dei documenti sia a livello proprietario, presso unità di rete raggiungibili dall'applicativo, sia tramite il sistema di Gestione documentale (Titulus). Ai fini dell'integrazione, è sufficiente fornire le modalità di accesso ai servizi documentali utilizzati che si intendono integrare. Ove richiesto, può essere integrato anche il sistema di firma digitale di Cineca.