Caratteristiche principali di Privacy Evo

Privacy Evo consente la gestione intuitiva degli adempimenti obbligatori previsti dalla vigente normativa comunitaria (GDPR) e nazionale (D.Lgs. 196/2003 'Codice della Privacy' e D.Lgs. 101/2018).

La suddivisione logica in sezioni, a partire da quelle dedicate all'anagrafica del Titolare del Trattamento e ai soggetti che ricoprono gli altri ruoli attivi previsti nelle norme, passando per quella riservata ai trattamenti, fino a quelle dedicate all'analisi dei rischi e alla definizione della rpoduzione documentale, lascia all'utente la completa libertà di decidere la profondità dell'analisi da condurre, dai casi più semplici a quelli più complessi.

L'ambiente di lavoro consente la gestione delle violazioni con la predisposizione di valutazioni e comunicazioni necessarie, la descrizione minuziosa dei trattamenti in termini di finalità, categorie di dati, durata, modalità di raccolta, trasferimenti, fornisce gli strumenti per la creazione e la gestione dei documenti previsti dal Regolamento Europeo 2016/679, contiene lo strumento di analisi dei rischi a norma ISO 27001 e quello per l'esecuzione della DPIA integrati nel sistema.

  •  Definizione personalizzata dei ruoli. Possibilità di nomina dei Responsabili del Trattamento secondo la più ampia libertà decisionale, anche multilivello, e dei Responsabili della Protezione dei Dati (RDP o Data Protection Officer - DPO). Nomina e revoca delle persone autorizzate al trattamento secondo modulistica standard disponibile in archivio e personalizzabile a piacere.
  •  Analisi dei trattamenti. Definizione del trattamento e delle finalità secondo infinite possibilità di combinazione. Gestione del trattamento di categorie particolari di dati. Previsione dei trasferimenti di dati verso paesi terzi rispetto all'Unione Europea. Definizione delle categorie degli interessati e degli eventuali destinatari (categorie o destinatari specifici), trattamenti automatizzati compresa la profilazione, trattamento di dati relativi a categorie particolari (art.9) o a condanne penali e reati (art.10).
  •  Registri delle attività di trattamento. Generazione automatica dei registri delle attività del trattamento dei Titolari e dei Responsabili sulla base delle informazioni presenti nelle diverse sezioni del progetto (anagrafica, analisi dei trattamenti, analisi dei rischi). Generazione dei registri delle attività di trattamento dei Rappresentanti dei Titolari e dei Rappresentanti dei Responsabili ove necessario. Possibilità di generazione manuale e programmata dei registri nella forma estesa e tabellare secondo le necessità specifiche. [Piena ottemperanza degli obblighi di normativa circa l'onere di prova delle attività svolte mediante apposizione di firma digitale e marca temporale ai registri e loro archiviazione in conservazione a norma](*).
  •  Modello organizzativo privacy e Regolamenti. Composizione del Modello Organizzativo Privacy per definire la politica complessiva, l'assegnazione dei ruoli e delle relative responsabilità in materia di protezione dei dati personali e generazione dei Regolamenti specifici per individuare le procedure operative in settori quali la gestione delle risorse informative e la videosorveglianza.
  •  Lettere di incarico. Lettere di incarico e revoca per tutte le figure con ruoli attivi nel trattamento dei dati personali e coinvolte nella gestione della privacy aziendale (Responsabili del Trattamento, Responsabili della Protezione dei Dati, Persone Autorizzate, Amministratori di sistema, Custodi delle credenziali, Responsabili integrità dei dati e altre figure specifiche).
  •  Diritti degli interessati. Generazione automatica delle informative e delle richieste di consenso sulla base dell'analisi dei trattamenti. Gestione delle informative e delle richieste di consenso specifiche per minori e per minori di 16 anni nel caso di trattamenti riguardanti l'offerta di servizi della società dell'informazione (art. 8).
  •  Valutazione dei rischi. Analisi dei rischi effettuata secondo la norma ISO 27001. Identificazione e valorizzazione degli asset significativi, identificazione delle vulnerabilità, delle minacce che ne derivano e della probabilità di accadimento, calcolo degli impatti. Analisi e ponderazione dei rischi, determinazione delle soglie di accettazione dei rischi. Identificazione e valutazione delle contromisure e redazione del relativo Piano di trattamento dei rischi.
  •  Esecuzione di valutazione di impatto (DPIA). Esecuzione guidata della valutazione di impatto sulla protezione dei dati personali (DPIA - Data Protection Impact Assessment) con metodologia operativa CNIL aprrovata dal Garante nazionale. Compilazione automatica con acquisizione dei dati dalle sezioni del software relative ai trattamenti e alla relativa analisi dei rischi. Assegnazione dei ruoli di redattore, revisore e validatore con relativi privilegi. Generazione della DPIA e del piano d'azione.
  •  Registro delle violazioni (Data Breaches). Il programma permette di tenere traccia delle violazioni dei dati oggetto di trattamento, provvedendo alla compilazione automatica dei modelli di comunicazione da trasmettere all'Autorità Garante. Sono previsti diversi tipi di comunicazione nei casi di violazione di dati biometrici (Provvedimento n.513 del Garante del 12 novembre 2014), violazione dei dati personali che si verificano nell’ambito delle banche dati della PA (Provvedimento del 2 luglio 2015), violazione di dati personali riguardanti il dossier sanitario (Provvedimento del 4 giugno 2015), violazione generica.

(*): funzione di prossima implementazione