DPIA e Valutazione dei Rischi

Guida semplice alla valutazione di impatto DPIA e analisi del rischio

Una guida semplice e dall'applicazione immediata per la costruzione di un DPIA e un piano di valutazione dei rischi adeguato secondo la GDPR

Il GDPR ha introdotto l’articolo 35 nel quale viene esposta la valutazione di impatto DPIA, ovvero il processo volto a descrivere i trattamenti, valutarne la necessità e aiutare a gestire i rischi per i diritti delle persone fisiche derivanti dal trattamento, valutandoli e determinando le misure per indirizzarli.

La presente guida elenca le misure minime che devono essere implementate in modo sistematico per un buon DPIA.

Individuazione dei dati personali

  • Elencare i dati personali processati
  • Identificare la tipologia dei dati immagazzinati
  • Definire in che modo sono stati raccolti i dati salvati
  • Identificare i supporti su cui sono sono stati salvati definendo l’hardware (client, server, NAS …), il software (sistema operativo, database, …)  i canali di comunicazione (fibra ottica, wifi, …) e lo stato documentale (documenti di carta, fotocopie, …)

Analisi del rischio

Individuare i potenziali effetti sui diritti e le libertà delle persone interessate:

  • Accesso non autorizzato ai dati personali
  • Modifica indesiderata dei dati
  • Indisponibilità temporanea o definitiva di accesso ai dati

Identificare le sorgenti di rischio

Chi e cosa potrebbe essere la causa degli eventi che potrebbero creare danno ai dati personali?

  • Amministratori di Sistema
  • Utenti o esterni all’organizzazione
  • Attacchi informatici
  • Virus e Malware
  • Competitor
  • Eventi climatici
  • Acqua, fuoco ed esplosioni

Identificare le potenziali minacce sui supporti in cui sono presenti i dati personali (hardware, software, networking, ecc):

  • Utilizzo in modo inappropriato dell’asset (violazione dei diritti ed errore procedurale)
  • Modifica: malware, keylogger, virus e installazione di software dannoso
  • Perdita: furto o perdita di un supporto
  • Osservazione: geolocalizzazione di un device contenente i dati
  • Danno: vandalismo e degrado dei supporti
  • Sovraccarico: attacchi DDOS o overload dei supporti di memorizzazione

Per ogni rischio è indispensabile pianificare le adeguate misure di sicurezza:

Valutare al probabilità e la gravità dei rischi utilizzando una scala di misura (es. trascurabile, moderata, significativa, massima).

Audit di sicurezza

La fase conclusiva del DPIA riguarda il controllo periodico delle misure pianificate e adottate, assicurandosi della genuinità tramite un’azione di testing. Inoltre l’audit di sicurezza deve essere associato a un piano d’azione.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
Guida semplice alla valutazione di impatto DPIA e analisi del rischio
Titolo
Guida semplice alla valutazione di impatto DPIA e analisi del rischio
Descrizione
Una guida semplice e dall'applicazione immediata per la costruzione di un DPIA e un piano di valutazione dei rischi adeguato secondo la GDPR
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *