Axitea » Casi Studio » Security Consulting » Gestione corretta ed etica dei dati personali per la Lega del Filo d’Oro

Caso di Studio

Gestione corretta ed etica dei dati personali per la Lega del Filo d’Oro

Mercato

Contesto

Ospedali, strutture sanitarie o organizzazioni di tipo ONLUS mantengono e processano in continuazione dati personali che possono essere estremamente sensibili, tuttavia necessari per erogare le cure richieste.
E non si tratta solo delle cartelle cliniche dei pazienti, oggi spesso digitali e quindi esposte a rischi di compromissione e sottrazione sempre più rilevanti: sono da considerare ugualmente sensibili tutte le informazioni di tipo economico, ad esempio quelle relative alle donazioni o ai pagamenti per i servizi ricevuti.

Esiste quindi una responsabilità sociale nell’ambito del trattamento dei dati da parte di realtà complesse come le ONLUS, che presuppone non solo che la gestione del dato sia sicura, di qualità e conforme alle leggi, ma che si tratti di una gestione corretta ed etica.

I dati raccolti devono infatti essere protetti secondo le normative in vigore, ma anche resi disponibili e totalmente integri. Da ciò deriva la necessità di affrontare temi molto rilevanti come quelli della trasparenza e della compliance – ossia della possibilità di accedere alle informazioni nel pieno rispetto delle norme di legge.

La collaborazione con Axitea

Lega del Filo d’Oro è presente sul territorio attraverso 5 Centri residenziali e servizi territoriali, 3 Sedi territoriali e un Nuovo Centro Nazionale a Osimo (AN), inaugurato a dicembre 2017, in cui vengono accolte 100 persone, assistite e riabilitate attraverso attività di ogni genere, con il supporto degli operatori sanitari e dei molti volontari che operano insieme ai familiari per migliorare ogni giorno la qualità di vita di bambini e adulti.

Attraverso le attività svolte giornalmente, come servizi sanitari, attività educative, centri diagnostici e trattamenti intensivi, Lega del Filo d’Oro raccoglie una quantità considerevole di dati personali e sensibili. Il fattore sicurezza risulta quindi una componente fondamentale per la natura sensibile delle informazioni trattate e dei servizi erogati all’interno di tutti i siti della Lega del Filo d’Oro.

La collaborazione con Axitea è stata fondamentale per definire e implementare un approccio al trattamento dei dati in linea con i principi di responsabilità sociale:

  • Realizzazione di un remediation plan dettagliato con relative azioni specifiche di miglioramento;
  • Realizzazione di un sistema video sulla base del principio Privacy & Security by Design.
Ico-pos-Pattugliamento

Risultati raggiunti

Attraverso la collaborazione con Axitea, Lega del Filo D’Oro si è assicurata una gestione del dato sicura, di qualità e conforme alle leggi, oltre che corretta ed etica in linea con i principi di responsabilità sociale.

Inoltre è stata messa in sicurezza tutta l’area della sede della Lega del Filo D’Oro grazie a un complesso sistema di videosorveglianza.

Il progetto

A partire da un’analisi documentale, organizzativa e di processo, è stata condotta una verifica puntuale dei requisiti funzionali già implementati in ottica di compliance GDPR, al fine di individuare limitazioni del sistema informatico e procedurale.

L’analisi effettuata da Axitea dei progetti e del percorso di adeguamento GDPR già avviato dalla Lega del Filo d’Oro è stata organizzata su differenti step che hanno riguardato:

  1. Processo/organizzazione;
  2. Risk Management & Protection;
  3. Modello di gestione e manuale procedure GDPR;
  4. Training & control.

Consulenza & Security by Design

Fase 1: Processo/organizzazione
In fase di processo/organizzazione è stato valutato il perimetro di applicazione della normativa GDPR presso la Lega, in particolare relativamente a: processi, infrastruttura ICT, organizzazione, settore merceologico, tipologia di business e attività aziendali “Privacy Sensitive” e tipologie di trattamenti conseguenti.

Fase 2: Risk Management & Protection
Per l’ambito Risk Management & Protection è stato necessario verificare le library dei rischi relativi alla manomissione, all’accesso non autorizzato, al furto, alla diffusione senza consenso e all’utilizzo fraudolento dei dati personali oggetto dei trattamenti aziendali, oltre all’analisi dei rischi e di impatto del trattamento privacy sui diritti e le libertà degli interessati (DPIA).

Fase 3: Modello di gestione e manuale procedure GDPR
Il terzo step ha riguardato l’analisi del modello di gestione e il manuale procedure GDPR.
In pratica è stato definito un modello di presidio e gestione delle tematiche relative alla Privacy con ruoli, responsabilità e procedure definite, un registro dei trattamenti effettuati da parte di qualunque stakeholder aziendale o esterno.

Fase 4: Training & Control
A seguire, è stata verificata la parte relativa al Training & Control, comprendente l’acquisizione
di know-how, strumenti professionali adeguati, il processo di miglioramento, la formazione del personale coinvolto e la sensibilizzazione di tutti gli stakeholder aziendali.
A completamento dell’analisi è stato definito un remediation plan dettagliato con relative azioni specifiche di miglioramento.

SECURITY BY DESIGN

Oltre all’analisi per l’ambito Privacy, Axitea ha progettato e installato un sistema integrato di videosorveglianza totalmente conforme alla normativa GDPR, dedicato al monitoraggio di una superficie complessiva di 5.6 ettari, metà della quale occupata da spazi verdi, con la presenza di varchi di accesso e numerosi punti potenzialmente critici in termini di rischi di sicurezza.
Il sistema realizzato è scalabile e in grado di monitorare gli ingressi e le uscite, il perimetro, i parcheggi e le altre aree a rischio, 24 ore al giorno per 365 giorni all’anno.
Le telecamere sono dotate di numerose funzioni avanzate come per esempio la possibilità di effettuare zoom e modificare l’angolo di ripresa spostandone l’inquadratura con tour preimpostati,
per consentire un movimento continuo automatico; all’occorrenza le videocamere possono inoltre essere brandeggiate e controllate manualmente da un operatore abilitato.
L’intero sistema di videocontrollo è gestito da un supervisore unico, tramite il quale uno o più operatori possono visualizzare tutte le telecamere in tempo reale, controllare manualmente i brandeggi delle telecamere, visualizzare la mappa grafica del complesso con l’ubicazione esatta delle telecamere e ricevere segnalazioni di eventuale malfunzionamento del sistema video, nel pieno rispetto di quanto previsto dalla L.300/1970 e dal D. Lgs. 151/2015.
Al fine di proteggere il sistema di videocontrollo da intrusioni non autorizzate interne o esterne, rispettando il principio di Security by Design, sono state adottate tecnologie che prevedono funzionalità specifiche quali crittografia della comunicazione alle telecamere, firme digitali sull’esportazione video, disabilitazione della doppia esportazione e inserimento di un’autenticazione a due fattori.

Servizi erogati

Vigilanza Privata

Servizi di vigilanza privata che includono il monitoraggio allarmi H24 da Security Operation Center, l'intervento su allarme...

GDPR Compliance Consulting

Verifica dei potenziali GAP rispetto a quanto necessario per essere compliant con le misure di protezione e...

Sistemi di Sicurezza Perimetrale

Sistemi per la protezione del perimetro delle aziende, anticipando gli allarmi di avvenuta intrusione e diminuendo notevolmente...

Videoallarme e Videosorveglianza

Monitoraggio proattivo di telecamere (o a seguito di allarme), per il controllo del perimetro e delle aree...

Ico-pos-Rilevazione intrusione

Vuoi maggiori informazioni su cosa può fare Axitea per te?

Ico-pos-Rilevazione intrusione

Vuoi un'analisi gratuita della tua sicurezza?

Scroll to Top
Torna su