Fasi di implementazione GDPR

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Fasi di implementazione GDPR"

Vittoria Franchi
5 anni fa
Visualizzazioni

1 Esemplificazione degli step per l implementazione di un sistema privacy. 1. Intervista L intervista è una raccolta di informazioni sullo stato di adeguamento al D.Lgs 196/RE (strumenti interviste preliminari, analisi di documenti, eventuali audit) finalizzati alla predisposizione del Piano di lavoro, o offerta nel caso di attività consulenziale. Esemplificazione Intervista: Denominazione / Ragione Sociale Azienda Attività Svolta Dipendenti collaboratori numero Esiste una persona indicata come referente per l Privacy? Esiste una persona indicata come responsabile del sistema informativo? Descrizione dell architettura del sistema informatico. Viene effettuato una o più procedure di backup dei dati del sistema informatico? Esiste un sistema di autenticazione informatica? L accesso ai personal computer e ai dati contenuti è protetto da password? Ogni macchina che può accedere ad Internet è protetto da AntiVirus aggiornato? Esiste un documento, riservato, che specifica i vari livelli di accesso ai dati? Vengono trattati dati sensibili (vedi definizione dati sensibili)? Le informazioni riservate sono protette contro gli accessi non autorizzati? Indicare, oltre a quelle standard (clienti, fornitori, ecc.) quali delle seguenti banche dati sono presenti nelle sedi legali ed operative dell organizzazione: curriculum collaboratori, contratti collaboratori, dati personale dipendente, curriculum personale dipendente, curriculum persone in cerca di occupazione, dati personali e recapiti dei soci e degli amministratori, società, rubrica outlook, centralizzata, database dei clienti, database su cloud, database fuori dalla UE, database CRM, database ERP/gestionale, database frutto di attività di profilazione. E stato chiesto, tramite informativa, il consenso agli interessati per il trattamento? 1

2 Le informazioni riservate sono protette contro gli accessi non autorizzati? Sono state condotte all interno dell organizzazione attività di profilazione dei dati? E stato implementato Il Modello Organizzativo 231 all interno dell azienda? Sono presenti cause/ricorsi pendenti in materia privacy e/o con il Garante E presente all interno dell organizzazione il regolamento informatico in materia di protezione dei dati personali? E stato stabilito un protocollo per la protezione e il trattamento dei dati con i fornitori di servizi esterni? Es. (commercialista, consulente del lavoro, fornitori servizi in outsourcing). I dipendenti sono stati informati del fatto che l'utilizzo delle risorse (personal computer/internet) è ammesso esclusivamente per utilizzi professionali? Il personale (specialmente i responsabili) è adeguatamente informato degli eventuali rischi che ci possono essere nel non seguire le procedure di sicurezza informatica previste nell'organizzazione e l'applicazione del codice della privacy? Oltre la raccolta via telefono è prevista una raccolta degli ordini via e/o Sito Internet?? Quali sono le misure adottate per ridurre il rischio relativo alla perdita dei dati? La gestione dei software e della rete informatica aziendale è interna o è affidata all'esterno? Quale tipo contratto è in essere (garanzie offerte)? 2. Esemplificazione piano di lavoro Stesura del piano di lavoro (offerta nel caso di attività consulenziale) con indicazione degli obiettivi, fasi, tempi, responsabilità, budget, ecc., ed approvazione delle funzioni deputate. Esempio: Tempistica: Avvio del progetto previsto per il., Chiusura del progetto prevista per Pianificazione di dettaglio e budget 2

3 3

4 3. Approfondimenti ed analisi documenti Le interviste approfondite sono utili per svolgere le successive fasi di «Adeguamento rispetto al D.lgs 196/RE» (fase 5) ed eventualmente "Implementazione del sistema di gestione della privacy" (fase 6). Esempio: Funzioni aziendali da coinvolgere nelle interviste approfondite: Direzione/Amministrazione; R. Personale; R. Marketing; Sistema Qualità e Haccp; RSPP; Amministratore sistema informativo; R. Logistica Argomenti da trattare: Profilazione; Informativa e consenso sul Sito Internet; Informativa e consenso raccolto altri canali (es. call center); Cookie; Attività di Profilazione; Affidamento di dati a Terzi; Contenziosi Privacy in corso; Attività sui Social NetWork. 4

5 4. Analisi di Privacy Impact Assessment Viene svolta in considerazione di quanto è emerso nei punti precedenti. Esempio: Analisi del contesto (ERM fase 1 ambiente interno ) Fattore Tecnologia Normativa Impatto sull azienda Sistema informatico obsoleto Nazionale ed extra europa Tipi di dati trattati Sistemi di gestione applicato Iso 9001 Sensibili relativi ai risultati dei test delle prove a seguito Ads Risorsa esterna Sito internet Livello di scolarizzazione del personale 5

6 Esigenze ed aspettative delle parti interessate (ERM fase 2 obiettivi ) Identificazione eventi e dei rischi associati ai processi aziendali (ERM 3,4 ) 6

7 Estratto dalla lista fornita dal Garante della Privacy per la protezione dei dati dei rischi che incombono sui sistemi informatici: Comportamenti degli operatori: Furto di credenziali di autenticazione, Carenza di consapevolezza, disattenzione o incuria, Comportamenti sleali o fraudolenti, Errore materiale; Eventi relativi agli strumenti: azione di virus informatici o di codici malefici, Spam o altre tecniche di sabotaggio, malfunzionamento, indisponibilità o degrado degli strumenti, Accessi esterni non autorizzati, Intercettazione di informazioni in rete; Eventi relativi al contesto: Accessi non autorizzati a locali/reparti ad accesso ristretto, Asportazione e furto di strumenti contenenti dati, Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria, Guasto ai sistemi complementari (impianto elettrico, climatizzazione.), Errori umani nella gestione della sicurezza fisica. 7

8 5. Adeguamento rispetto alla norme vigenti Il Privacy Officer potrebbe trovare più lacune rispetto a quelle emerse al punto 1 e 3, che è una analisi sommaria. Esempio: 8

9 6. Implementazione sistema privacy Stesura di procedure, documenti e modelli, condivisione con le risorse aziendali e successiva applicazione. Le attività previste nei punti 5 e 6 possono essere sequenziali o integrate, ovvero potrebbe essere svolta solo l'attività 5 e non la 6 (mentre la 6 richiede necessariamente la 5). Esempio azioni per l implementazione di un sistema privacy: 9

10 10

11 11

12 7. Formazione del personale Schema di formazione del personale che prevede la somministrazione di test, criteri di valutazione e il rilascio di un attestato di partecipazione Esempio: 12

13 13

14 8. Avvio del sistema Privacy Il sistema viene avviato, mantenuto ed aggiornato 9. Audit Dopo un adeguato lasso di tempo, dei processi aziendali, avente come criterio l'applicazione del dlgs 196/RE e/o sistema di gestione della privacy prevalente in plenaria sabato mattino. Esempio scheda di Audit: 10. Mantenimento e miglioramento (ERM 8 Monitoraggio ) Adeguamento alle variazioni normative, proseguimento dell'attività di audit. 14

Documenti analoghi

Dipartimento Immagini Strutture Complesse S.C. Fisica Sanitaria S.C. Medicina Nucleare Pietra Ligure S.C. Neuroradiologia Diagnostica ed Interventistica Pietra Ligure S.C. Radiologia Diagnostica Albenga