GDPR Assessment

Implementare il sistema Privacy GDPR in azienda: i primi passi da fare

Il primo adempimento da adottare per implementare il sistema Privacy GDPR in azienda è comprendere l’importanza e il valore dei dati, dopodiché bisogna avviare tutti i processi per avere un quadro completo dell'organizzazione, ruoli, figure, competenze, processi e regole che impattano sul trattamento dei dati.

Dal 25 maggio 2018 nella UE si applicheranno le norme del GDPR, il nuovo Regolamento Europeo sulla Privacy.

Come implementare il Sistema Privacy

In primis è necessario sostenere che i Sistemi Qualità avranno l’onere di fornire i dettami da seguire per la nomina dei Responsabili Privacy. Le figure chiave che gestiranno l’intero sistema sono due, il «titolare del trattamento» e il «responsabile del trattamento».

GDPR: il titolare del trattamento

È il soggetto che stabilisce le finalità e i mezzi utilizzati per il trattamento dei dati personali. Nel caso in cui il trattamento dei dati coinvolga il diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Il titolare del trattamento può essere un’autorità pubblica, una persona fisica o giuridica. In altri casi può essere un organismo e agire singolarmente o in sinergia con altri.

GDPR: il responsabile del trattamento

È il soggetto che tratta i dati personali per conto del titolare del trattamento. Anche in questo caso può essere un’autorità pubblica, una persona fisica o una giuridica.

L’organigramma del GDPR

L’organigramma riveste grande importanza perché permette di analizzare la situazione e decidere quali dati devono essere gestiti da chi. Sì, perché chiunque trasferisca dati, anche il personale non direttamente dipendente dell’azienda, deve essere ricompreso in questa gerarchia.

Sarà necessario che ogni risorsa coinvolta riceva una formale lettera d’incarico che specifichi a quali compiti e responsabilità di trattamento la stessa sarà soggetta. Naturalmente, non si potrà prescindere da un adeguato percorso formativo che consenta una corretta gestione.

Come è ovvio aspettarsi, il trattamento, ma anche la conservazione, dei dati personali creano situazioni rischiose, per esempio:

  • hacker che attaccano i sistemi informativi con lo scopo di impadronirsi di preziose informazioni;
  • utilizzo dei dati non autorizzato da parte di dipendenti infedeli;
  • la perdita dei dati e il trattamento non conforme degli stessi.

È su queste basi che si dovrà adottare un PIA il cui scopo è valutare il rischio potenziale, le contromisure adottate e il rischio residuo. Da questo primo documento nascerà il piano interno che specificherà i provvedimenti adottati per il singolo rischio, le figure aziendali che se ne occuperanno e la previsione di costo. Il PIA andrà ripetuto all’incirca ogni 6 mesi, per monitorare la situazione e i risultati ottenuti, oltre a verificare l’eventuale comparsa di nuovi punti critici.

Sarà utilissimo utilizzare un software GDPR dedicato, in grado di censire, valutare e monitorare, generando la reportistica e le comunicazioni operative da inoltrare ai vari addetti.

Cos’è il P.I.A. (Privacy Impact Assessment)

Il Privacy Impact Assessment o PIA è la valutazione d’impatto sulla protezione dei dati (espressamente prevista dal Regolamento UE 2016/679).

Volendo semplificare, possiamo paragonare questo processo a un audit, dove lo scopo però non è ottenere una certificazione da un ente esterno, ma verificare la conformità della propria organizzazione al GDPR.

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
Implementare il sistema Privacy GDPR in azienda: i primi passi da fare
Titolo
Implementare il sistema Privacy GDPR in azienda: i primi passi da fare
Descrizione
Il primo adempimento da adottare per implementare il sistema Privacy GDPR in azienda è comprendere l’importanza e il valore dei dati, dopodiché bisogna avviare tutti i processi per avere un quadro completo dell'organizzazione, ruoli, figure, competenze, processi e regole che impattano sul trattamento dei dati.
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *