Il progetto di Privacy Compliance Assessment

Il progetto (intitolato “Privacy compliance assessment”), riguarda l’analisi dei trattamenti di dati personali effettuati dall’azienda cliente di Sernet S.p.A. sia in qualità di Titolare del Trattamento che di Responsabile esterno del Trattamento, finalizzata ad evidenziarne il grado di conformità rispetto alle norme vigenti in materia di protezione dei dati personali (es. Regolamento U.E n. 679/2013, Provvedimenti del Garante della Privacy, altre norme applicabili in virtù delle attività svolte).

L’azienda coinvolta nel progetto

Il progetto di Privacy Compliance Assessment, sottoscritto con la Capogruppo  di un importante gruppo multinazionale operante nel settore dei servizi alle imprese (es. customer care, back office, gestione documentale, digitalizzazione dei processi operativi, telemarketing, ecc.), ha riguardato i trattamenti di dati personali svolti da tre aziende facenti parte del Gruppo.

Il contesto di svolgimento della case history

Il progetto si è svolto in un contesto caratterizzato da una elevata dinamicità del business e da una forte complessità ed eterogeneità dei trattamenti di dati personali svolti dalle aziende clienti, che ha richiesto l’approfondimento di diverse norme, regolamenti, provvedimenti del Garante Privacy e standard internazionali applicabili. Ci si riferisce, in particolare, agli standard internazionali ISO 27001, ISO 27701, ai decreti legislativi n° 196/2003 (Codice Privacy), n° 206/2005 (Codice Consumo) e alle leggi n° 178/2010 (Registro Opposizioni) n° 5/2018 (Telemarketing).

L’assessment svolto dal team Sernet

L’analisi dei trattamenti di dati personali svolta nell’ambito del progetto di Privacy Compliance Assessment è stata svolta sulla base di un approccio innovativo, sviluppato dai consulenti Sernet in coerenza con le caratteristiche delle aziende clienti. Tale approccio ha previsto:

  • approfondimento e integrazione della metodologia di Risk Assessment già adottata dall’azienda in ottica di sicurezza delle informazioni, con controlli in materia di protezione dei dati personali, individuati attraverso l’analisi di norme, regolamenti, provvedimenti del Garante Privacy e standard internazionali applicabili alle aziende in ambito;
  • suddivisione dei controlli privacy individuati in due categorie:
  • controlli applicabili alle aziende nel loro complesso;
  • controlli applicabili ai singoli trattamenti di dati personali svolti alle aziende;
  • definizione di un campione rappresentativo di trattamenti di dati personali svolti dalle aziende in qualità di Titolare del Trattamento e di Responsabile esterno del Trattamento;
  • svolgimento delle attività di rilevazione attraverso interviste e analisi documentali;
  • formalizzazione dei risultati, individuazione di eventuali aree di criticità e definizione delle opportune azioni correttive;
  • inserimento dei risultati dell’analisi di rischio all’interno del tool di analisi del rischio già utilizzato dall’azienda.

Gli strumenti utilizzati

Al fine di gestire la complessità connessa allo svolgimento di un’analisi particolarmente articolata, è stato sviluppato da Sernet uno strumento apposito.

Si tratta di un database progettato per facilitare la raccolta delle informazioni di Audit e la creazione della relativa reportistica. Il database permette, per ciascuna azienda e per ciascuna attività di trattamento dei dati personali oggetto di analisi, di rilevare:

  • Stato di applicazione dei controlli di data protection definiti;
  • Azione correttive o di mitigazione;
  • Giudizio di conformità.

Privacy Compliance Assessment: i risultati del progetto

 Lo svolgimento del progetto ha permesso a Sernet S.p.A. di sviluppare una nuova metodologia di analisi innovativa e flessibile, applicabile ad aziende o  Gruppi aziendali di dimensioni medio-grandi e con una elevata complessità relativamente ai trattamenti di dati personali.