check-up - GDPR privacy

Consulente privacy
Ugo Carlo Chiolerio
Sito in costruzione
Vai ai contenuti
 
VALUTAZIONE DEI RISCHI
 
TAPPE
 
-          Analisi dell’esistente
 
-          Comparazione dell’esistenze con lo standard normativo
 
-          Programmazione azioni di adeguamento
 
-          Realizzazione lavori
 
-          Controllo della correttezza / efficacia / efficienza del realizzato .
 
ANALISI DELL’ESISTENTE
 
A)     Verifica DPS , informative , consensi preesistenti in azienda
 
B)     Verifica archivi dei dati gestiti internamente ed esternamente
 
C)     Verifica delle apparecchiature utilizzate per la gestione dei dati
 
D)     Verifica dei software utilizzati
 
E)      Verifica strumenti organizzativi
 
F)      Verifica videosorveglianza
 
COMPARAZIONE DELL’ESISTENTE CON LO STANDARD NORMATIVO
 
A)     Accertamento rischi specifici per singolo trattamento
 
1)      Distruzione – perdita – modifica – divulgazione non autorizzata – accesso accidentale illegale
 
2)      Comportamento operatori :
 
o   Sottrazione credenziali autenticazione
 
o   Carenza consapevolezza , disattenzione , incuria
 
o   Comportamenti sleali o fraudolenti
 
3)      Eventi relativi agli strumenti :
 
o   Virus o programmi suscettibili di reale danno
 
o   Spamming o tecniche di sabotaggio
 
o   Malfunzionamento ,indisponibilità ,degrado degli strumenti
 
o   Accessi esterni non autorizzati
 
o   Intercettazione di informazioni in rete
 
4)      Eventi relativi al contesto :
 
o   Accessi non autorizzati a locali / reparti ad accesso ristretto
 
o   Sottrazione strumenti contenenti dati
 
o   Eventi distruttivi ,naturali ,artificiali ,dolosi ,accidentali ,incuria
 
o   Guasti ai sistemi complementari ( impianto elettrico -  climatizzatori )
 
o   Errori umani nella gestione della sicurezza fisica
 
 
PROGRAMMAZIONE AZIONI DI ADEGUAMENTO
 
Misure tecniche ed organizzative ritenute adeguate :
 
A)     Pseudonimizzazione – cifratura
 
B)     Assicurare su base permanente :      
 
o   Riservatezza
 
o   Integrità
 
o   Disponibilità
 
o   Reslilienza
 
C)     Ripristino tempestivo della disponibilità dei dati
 
D)     Ripristino tempestivo dell’accesso ai dati in caso di incidente fisico o tecnico
 
E)      Procedure di test periodiche per verifica e valutazione efficacia misure adottate
 
F)      Modulistica :
 
o   Scheda descrittiva
         
Scheda numero ______    compilata da __________________________________ il  ________________
            
Tipo misura _________    ragioni per adozione ____________________ descrizione   __________________
  
Dataa ggiornamento __________
       
 
o   Rischi
 
o   Trattamenti
 
o   Misure presenti
 
o   Misure da adottare
 
o   Tempi
 
o   Struttura delle persone per adozione misure
 
o   Verifica dell’efficacia
 
o   Struttura delle persone per monitoraggio
 
G)     Criteri e procedure di ripristino disponibilità dei dati
         
Scheda numero ______    compilata da __________________________________ il  ________________
            
Archivio ____________ criteri salvataggio e ripristino   _______________________________________
  
Pianificazione prove di ripristino   _________________________________________________________
       
 
H)     Criteri e procedure per salvataggio dati
         
Scheda numero ______    compilata da __________________________________ il  ________________
            
Archivio ____________ criteri e procedure di salvataggio   _______________________________________
  
Luogo custodia copie _____________________ Incaricato   salvataggio _____________________________
       
 
 
LISTA DEI DOVERI
 
• Attribuire correttamente i ruoli e definire il modello organizzativo di gestione dei dati.
 
• Se il trattamento si basa sul consenso, essere in grado di dimostrare che l’interessato ha concesso il proprio benestare.
 
• Se le finalità del trattamento non richiedono più l’identificazione dell’interessato,non conservare, acquisire o trattare ulteriori informazioni identificative.
 
• Adottare misure appropriate per fornire l’informativa all’interessato.
 
• Agevolare l’esercizio dei suoi diritti.
 
• Garantire all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano; osservare il diritto di trasmettere senza impedimenti
 
i dati a un altro titolare.
 
• Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare.
 
• Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento.
 
• Valutare l’opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti.
 
• Tenere un registro delle attività di trattamento svolte.
 
• Considerare il rischio per i diritti e le libertà delle persone, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
 
• Far sì che chiunque agisca sotto l’autorità del Titolare e che nessuno tratti i dati se non istruito.
 
• In caso di violazione, notificarla all’autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta).
 
• Documentare qualsiasi violazione dei dati personali, circostanze, conseguenze e provvedimenti adottati.
 
• Se presenta un rischio elevato per i diritti e le libertà delle persone, comunicare la violazione all’interessato senza ingiustificato ritardo.
 
• Nello svolgere una valutazione d’impatto, consultarsi con il DPO, qualora sia designato.
 
• Raccogliere le opinioni degli interessati o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
 
• Prima di procedere al trattamento, consultare l’autorità di controllo qualora la valutazione d’impatto presenti potenziali rischi elevati in assenza di misure.
 
• Ottemperare all’eventuale parere dell’autorità di controllo.
 
• Al momento di consultare l’autorità di controllo, comunicare tutte le informazioni prescritte.
 
• Designare sistematicamente un Data Protection Officer (DPO) quando necessario.
 
• Assicurare che il DPO sia tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati.
 
• Sostenere il DPO nell’esecuzione dei compiti fornendogli le risorse necessarie per mantenere la propria conoscenza specialistica.
 
• Non rimuovere o penalizzare il DPO, e assicurarsi che non riceva alcuna istruzione per l’esecuzione dei propri compiti.
 
• Fornire all’organismo di certificazione tutte le informazioni e l’accesso alle attività di trattamento.
 
• Garantire la conformità al Regolamento.
 
• Attestare nel registro dei trattamenti la valutazione e le garanzie prescritte dal Regolamento.
 
• Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
 
• Per garantire che i dati non siano conservati più a lungo del necessario, stabilire un termine per la cancellazione o per la verifica periodica.
 
Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.
 
PASSI PRELIMINARI
 
-          Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole. Valutare cosa significa in concreto dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati.
 
-          Sperimentare nuove forme di informative visuali basate su icone.
 
-          Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
 
-          Dotarsi di software sentinella per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali e verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.
 
-          Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti.
 
-          Pensare a come introdurre un Data Privacy Officer in azienda.
 
-          Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei database aziendali.
 
-          Definire le nuove regole di acquisizione e documentazione del consenso.
 
-          Verificare con cura i fornitori dei dati. Questo è il tempo in cui fare test, test e ancora test.
 
-          Verificare se si trattano dati di minori tenendo conto che le nuove regole impongono di gestire anche il consenso degli esercenti la potestà di genitore con il consenso del minore al di sotto dei 16 anni.
 
 
VERIFICA INFORMATIVA
 
a) L’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
 
b) I dati di contatto del responsabile della protezione dei dati, ove applicabile
 
c) Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
 
d) Se il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi
 
e) Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
 
f) Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione
 
g) Il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
 
h) L’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
 
i) L’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
 
l) Il diritto di proporre reclamo a un’autorità di controllo
 
m) Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati
 
n) L’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
 
 
 
CONTROLLI CRITICI PER LA SICUREZZA DEI DATI
 
Inventario dei dispositivi autorizzati e  Non autorizzati
 
Inventario del software autorizzato e non autorizzato
 
Configurazione sicura di hardware e software su dispositivi mobili, laptop, workstation e server
 
Valutazione e correzione continue delle vulnerabilità
 
Uso controllato dei privilegi amministrativi
 
Manutenzione, monitoraggio e analisi dei registri di audit
 
Protezioni per e-mail e browser web
 
Difese contro il malware
 
Limitazione e controllo di porte, protocolli e servizi di rete
 
Capacità di recupero dati
 
Configurazioni sicure per dispositivi di rete come firewall, router e switch
 
Difesa dei confini
 
Protezione dei dati.
 
Accesso controllato basato sul principio del “need to know”
 
Controllo wireless degli accessi
 
Monitoraggio e controllo degli account
 
Valutazione delle competenze di sicurezza e appropriata formazione per colmare le lacune
 
Sicurezza del software applicativo
 
Risposta e gestione degli incidenti
 
P.IVA : 06744350015 Codice Fiscale : CHLGRL57M20H270Y
Piazzale Risorgimento 1 10082 Cuorgné (TO)
Ugo Carlo Chiolerio
Telefono: 0124-650565 Cellulare : 335-8180244
Socio Membro FEDERPRIVACY FP-8085
Torna ai contenuti