GDPR; Ricognizione e Pre-assessment - MSPD ACME SPA
GESTIONE DEL SISTEMA PRIVACY
E PROTEZIONE DEI DATI - DPO
Menu principale:
GDPR: Ricognizione e Pre-Assessment
RAGGIUNGERE LA CONSAPEVOLEZZA
Consolidare sempre meglio il testo normativo Reg.679/16 (di seguito Regolamento Privacy) e la conoscenza delle regole. Un obiettivo ambizioso indispensabile.
Consolidare sempre meglio il testo normativo Reg.679/16 (di seguito Regolamento Privacy) e la conoscenza delle regole. Un obiettivo ambizioso indispensabile.
La privacy europea è e sarà perennemente evolutiva!
FOTOGRAFARE LO STATO DELL'ARTE DELLA AZIENDA
L'obiettivo è assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso. Per valutare la postura di compliance nei confronti del regolamento Privacy bisogno sistematicamente scandire i propri punti deboli (Critical Control points, CCP).
Fatevi alcune domande sistematiche e comportatevi come se doveste compilare la lista della spesa.
1. ConsapevolezzaSono stati individuati i settori d' azienda impattati dal Regolamento Privacy?
Se non potete rispondere SI, verificate perlomeno di aver iniziato e incaricato qualcuno per la disamina. A questo livello individuate le figure candidate per competenza e disponibilità
2. Identificare CCP (Critical Control Point)
Sono stati individuati i soggetti incaricati di adeguare processi, manuale e procedimenti/prassi del Regolamento Privacy?
Se non potete rispondere SI, verificate a che punto siete con nomine e deleghe; quanto prima concordate uno steering committee con legali, fornitori e managers
3. Raccolta informazioni
E' stata pianificata una raccolta di informazioni per censire i flussi di dati?
Se non potete rispondere SI, quanto prima concordate uno steering committee con legali, ICT e managers
4. Postura di conformità della Protezione del DatoE' stata pianificata l'attività di valutazione dei rischi (DVR)?
Se non potete rispondere SI, quanto prima concordate uno steering committee con legali, ICT e managers
5. Sicurezza perimetrale e sorveglianza informatica (Data Breach)
Sono state individuate procedure appropriate per garantire che le violazioni dei dati personali siano rilevate, segnalate e studiate in modo efficace?
Se non potete rispondere SI, quanto prima concordate uno steering committee con legali, ICT (ADS o esterni)
6. Necessità di Valutazione degli impatti Privacy
E' stato verificato se occorre pianificare l'attività di valutazione di impatto privacy (DPIA)?
Se non potete rispondere SI, quanto prima concordate uno steering committee con legali, ICT (ADS o esterni) e managers
7. DPO o Responsabile della Protezione dei Dati
E' stato verificato se l'azienda ricade nel campo di applicazione della designazione di un responsabile della protezione dei dati (DPO o RPD)?
Se non potete rispondere SI, il Titolare del Trattamento deve prima possibile consultare i propri legali e dopo aver condotto con successo i punti 1 fino al 4, definire la esigenza (o meno) di designare un DPO. Se mandatorio nel caso di specie cercare una figura con i requisiti di cui agli Artt. 37,28 e 39
8. Trattamento: informative, consensi e requisiti Sistema PrivacyAvete valutato se, per legittimare ognuno dei trattamenti, occorre il consenso dell'interessato secondo condizioni previste dal Regolamento Privacy?
Se non potete rispondere SI, completate la redazione/stesura del Registro Trattamenti con i vs consulenti privacy. Successivamente procedere al Punto 9
9. Trattamento: metodologie e procedure di raccolta consensi
E' stato verificato se l'attuale raccolta del consenso o l'acquisizione delle altre condizioni di legge, sono in linea con il Regolamento Privacy?
Se non potete rispondere SI, strutturare adeguati sistemi tecnologici per supportare le campagne di richiesta/aggiornamento consenso con "mezzi" informatici/digitali
10. Trattamento legittimo
E' stato verificato se per trattare i dati sia sufficiente dichiarare il legittimo interesse
Se non potete rispondere SI, quanto prima concordate uno steering committee con legali, ICT e managers
11. Diritti dell'interessato: informative
E' stato verificato se le informative in uso siano aggiornate e conformi a quelle previste dal Regolamento Privacy?
Se non potete rispondere SI, mobilitare il Responsabile del Trattamento e il vostro esperto Privacy per revisionare le informative nelle versioni distinte per interessato, terzi, funzioni del personale e Responsabili Esterni12. Diritti dell'interessato: richieste dati dell'interessato
E' stato valutato come progettare procedure per fornire copie dei dati agli interessati che lo richiedono?
Se non potete rispondere SI, mobilitare il Responsabile del Trattamento e il vostro esperto Privacy per concordare con gli Informatici (ADS o esterni) procedure/prassi adeguate
13. Diritti dell'interessato
E' stato verificato come proceduralizzare la applicazione la portabilità dei dati per Interessati che ne facciano richiesta in qualunque momento?
Se non potete rispondere SI, mobilitare il Responsabile del Trattamento e il vostro esperto Privacy per concordare con gli Informatici (ADS o esterni) procedure/prassi adeguate con particolare riferimento al formato di trasporto dati secondo adempimento della Portabilità
14. Diritti dell'interessato
E' stato verificato se l'azienda è pronta ad applicare il diritto di oblio per Interessati che ne facciano richiesta in qualunque momento?
Se non potete rispondere SI, mobilitare il Responsabile del Trattamento e il vostro esperto Privacy per concordare con gli Informatici (ADS o esterni) procedure/prassi adeguate. In genere questo adempimento è di natura organizzativa e procedurale ma chiaramente presume che i Punti 12 e 13 siano già soddisfatti
15. Formazione del personaleE' stato formalizzato un coerente piano di formazione con corsi differenziali per il personale e per illustrare gli adempimenti previsti dal Regolamento Privacy?
Se non potete rispondere SI, mobilitare immediatamente il Resp. del Trattamento (interno o esterno), ovvero il vs Consulente Privacy (professionista e/o società esterna). Assicurarsi che le sessioni di formazione siano preferibilmente frontali in quanto le attività del Piano di Formazione devono essere verbalizzate ai fini delle evidenze del Manuale del Sistema Privacy. Nel caso di formazione eLearning in remoto, assicurarsi di avere dal fornitore esterno, tutta la documentazione di attestazione secondo quando indicato dal regolamento Privacy
NOTA: CHIARAMENTE NEL CASO IN CUI SIA PRESENTE IN AZIENDA UN DPO (PUNTO 7), ALLORA TUTTE LE ATTIVITA' E LE RIUNIONI CON PERSONALE, MANGERS, ICT, LEGALI E FORNITORI DOVREBBERO ESSERE SUPERVIZIONATE DALLA CONPRESENZA DI QUESTA FIGURA
Opinione
Autorità garante
nostra opinione
