Sezione 1 - Gestione e governance della protezione dei dati

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Sezione 1 - Gestione e governance della protezione dei dati"

Gemma Costanza Campo
6 anni fa
Visualizzazioni

1 PRONTI PER GDPR? Il regolamento generale sulla protezione (GDPR) dell'ue rappresenta una modifica significativa rispetto ai precedenti requisiti di conformità in materia di Data Privacy. L'informazione è un importante e prezioso asset per qualsiasi organizzazione. Possono essere utilizzati dati personali per molte ragioni diverse, ad esempio per: amministrazione del personale, fornitura di beni o servizi ai clienti, strategie di marketing, prevenzione del riciclaggio di denaro, gestione di flussi di entrate, ecc. Il controllo e la gestione personali sono attività fondamentali per garantire e dimostrare la conformità al GDPR. La transizione al nuovo regime è impegnativa e richiede sia personale formato che risorse finanziarie adeguate: il livello di conformità pre-esistente incide ovviamente sull entità dello sforzo necessario. Basato su una revisione sintetica della normativa, il presente questionario può essere utilizzato da dirigenti e amministratori per valutare il livello base di conformità attualmente esistente all'interno dell'azienda. Le domande non richiedono di entrare in specifici dettagli, ma mirano piuttosto a determinare il livello di controllo che un organizzazione ha sulle informazioni personali gestite e sulla legittimità delle loro elaborazioni, attraverso una revisione dello stato dell arte che dovrebbe aiutare a individuare le lacune esistenti in relazione ai nuovi requisiti del GDPR. Il presente questionario, la cui compilazione non richiede una conoscenza approfondita del GDPR, si articola in sei sezioni: Sezione 1 - Gestione e governance della protezione Sezione 2 - Documentazione relativa alle operazioni di trattamento personali Sezione 3 - Gestione dei rischi per la sicurezza delle informazioni Sezione 4 - Gestione delle violazioni e altri incidenti Sezione 5 - Formazione e sensibilizzazione sulla protezione Sezione 6 -Data Assessmente specifiche dell ambiente dati Le domande possono richiedere più di una risposta, a seconda della dimensione e della struttura dell organizzazione: imprese più grandi possono avere diverse unità di gestione dei propri clienti, sezioni HR e IT ciascuna con vari obblighi, politiche e procedure. Il questionario è stato elaborato a partire da analoghi documenti prodotti dal Garante europeo della protezione (EDPS), nell'ambito della sua iniziativa sull Accountability per le istituzioni dell'unione europea.

2 Sezione 1 - Gestione e governance della protezione Responsabilità al più alto livello per la valutazione (assessment) e il monitoraggio dell'attuazione, nonché per fornire evidenze della qualità dell'attuazione agli stakeholder esterni e all Autorità Garante Attività di protezione dei dati Assegnazione della responsabilità della protezione al Data Protection Officer (se del caso) Articoli da 37 a 39 Fermo restando che l alta direzione rimane, in ultima analisi, la responsabile dellacompliance, la responsabilità del controllo dellaconformità alle norme sulla protezione è stata formalmente attribuita ad un DPO? Se è necessario un DPO, cosa è stato fatto in merito? Se non è necessario un DPO, perché no? Come e da chi è stato nominato? Data della nomina? Durata dell'incarico? Risposta creata da: [Denominazioneunitàresponsabile] Data:

3 Attività di protezione Assegnazione delle responsabilità della protezione in tutta l'organizzazione Articoli 24, 32 Sono state individuate le responsabilità in materia di protezione nelle unità operative, nei settori e nei ruoli specifici all'interno dell'organizzazione? Quali ruoli / aree? Chi? Quali sono stati i criteri adottati? Il personale è consapevole del proprio ruolo nella protezione personali? Descrizione del lavoro, organigramma, verbali

4 Attività di protezione Comunicazione e collaborazione tra le funzioni responsabili della protezione Articolo 39 Il DPO e il senior management comunicano e lavorano insieme per garantire la conformità alla protezione? Descrizione dei meccanismi di reporting Canali di comunicazione in essere Politiche e procedure adottate Descrizione del lavoro, organigramma, verbali

5 Attività di protezione Reporting sulla gestione della protezione nell'organizzazione Articolo 39 Il DPO fornisce con regolarità i suoi reportdirettamente al più alto livello del management? Frequenza dei report. Linee di reporting Politiche e procedure adottate Verbali di riunioni

6 Sezione 2 - Documentazione relativa alle operazioni di trattamento personali Politiche interne trasparenti di protezione e della privacy, approvate e sostenute dal più alto livello di management dell organizzazione Attività di protezione Integrazione della data protection nelle procedure di accesso ed elaborazione personali utilizzati dall organizzazione Quali sono le politiche e procedure per la protezione personali utilizzati per finalità collegate ad attività lavorative? Quali dati personali vengono elaborati? Quali politiche e procedure sono presenti? Ci sono politiche separate per diverse aree di business? Dove sono disponibili? Sono rivistee aggiornate regolarmente? Vengono applicate / seguite? Politiche, procedure, orari di revisione Schedulazione della formazione del personale

7 Attività di protezione Integrare la protezione nell utilizzo di dispositivi IT Avete procedure e policy per la protezione personali nel caso dispositivi mobili siano utilizzati per finalità collegate ad attività lavorative? Quali sono? Ci sono politiche separate per device aziendali e per BYOD? Queste politiche sono applicate e rispettate? Dove sono disponibili? Politiche, procedure, piani di revisione, piani di formazione Schedulazione della formazione del personale Sono riviste e aggiornate regolarmente?

8 Attività di protezione Integrare la protezione nell uso delle infrastrutture IT Avete procedure e policy per la protezione personali nel caso che infrastrutture IT siano utilizzate per obiettivi personali? Quali sono? Queste politiche sono applicate e rispettate? Dove sono disponibili? Sono riviste e aggiornate regolarmente? Politiche, procedure, piani di revisione, piani di formazione Schedulazione della formazione del personale

9 Attività di protezione Integrare la protezione nelle pratiche di monitoraggio delle comunicazioni fra dipendenti Avete procedure per integrare la protezione nelle pratiche di monitoraggio delle comunicazioni, come utilizzo personale di , internet e telefono? Quali sono? Queste politiche sono applicate e rispettate? Dove sono disponibili? Sono riviste e aggiornate regolarmente? Politiche, procedure, piani di revisione, piani di formazione Schedulazione della formazione del personale

10 Sezione 3 - Gestione dei rischi per la sicurezza delle informazioni Politiche interne trasparenti di protezione e della privacy, approvate e sostenute dal più alto livello di management dell organizzazione Attività di protezione Mantenere e aggiornare una policy per la sicurezza delle informazioni Art 32 Avete una politica per la sicurezza delle informazioni in grado di proteggere i dati personali? La policy aziendaleidentifica il rischio per le persone generato dai processi? Livelli di sicurezza? Livello di resilienza di sistemi e dati? Azioni che mantengono l accesso ai dati nel caso di incidenti tecnici o fisici? Test e valutazioni periodiche delle misure adottate Assessment sullo stato di sicurezza Valutazioni periodiche,policy, procedure

11 Sezione 4 Gestione dei Data Breaches e di altri incidenti di sicurezza Attuazione di adeguate procedure per porre rimedio a scarsa conformità e violazioni. Attività di protezione Mantenere e documentare un protocollo di risposta per casi di incidenti e/o violazioni della protezione Art. 33 e 34 Avete una procedura di risposta nel caso di violazioni di dati personali? Qual è? Dove è disponibile? Viene rivisto regolarmente? Politiche Protocolli Procedure

12 Sezione 5 - Formazione e consapevolezza della protezione Informare e formare tutte le persone dell'organizzazione su come implementare le politiche Attività di protezione Mantenere consapevolezza sulle responsabilità della protezione Art 5 e/o 39 se viene nominato un DPO Vengono sviluppate consapevolezza e formazione del personale sulle politiche e procedure di protezione implementate dalla organizzazione per gestire i rischi legati alla sicurezza delle informazioni? Quanto frequente? Sistemi di comunicazione? Disponibilità? Documentazione su piani di formazione svolti e schedulati Viene mantenuta la documentazione dei programmi di formazione?

13 Sezione 6 - Data Assessment e specifiche dell ambiente dati Valutazione della situazione di governance sensibili Attività di protezione Qualità e quantità stimata sensibili Tipologia di Dati Sensibili: (anagrafici / bancari / sanitari / giuridici / ) Numerosità dati sensibili (% su intero repository / per ogni repository) Dove sono memorizzati i dati (NoSQL, RDBMS / DBMS / File System / Repositories / Cloud)

14 Attività di protezione Pratiche in atto di protezione e di restrizione degli accessi Meccanismi di protezione già implementati (SI/NO se esistono breve descrizione) Esistenza di policy di accesso ai dati (SI quante /NO) Modalità di accesso ai dati (applicazioni custom / packages / nativa) Logging di accesso (è tracciato / non è tracciato)

15 Attività di protezione Altri elementi da valutare Numerosità degli utenti per applicazione/ruolo Gestione del consenso (implementata Nessuna solo su carta) Riconoscimento dei dati che afferiscono ai minori (autorizzazione del genitore/tutore) Strumenti di Data Governance disponibili (ETL / DWH / Reporting / Analytics/ )

16 Attività di protezione dei dati Specifiche dell ambiente dati DataBase Tipo DB Nr. Server /SO /Core x Server Nr. Istanze di DB Nr. Tabelle/File Applicazioni Utenti Es. Oracle 2/Linux/8CPU Applicazioni Applicazione Tipologia Utenti Ruoli Interfacce Es. CRM Custom

Documenti analoghi

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale Obblighi di dei Fornitori esterni EUDA Applicazioni sviluppate dall utente finale Area di Titolo di Descrizione del Perché è importante? Governance e assicurazione di Ruoli e responsabilità Il Fornitore