oGuasti ai sistemi complementari ( impianto elettrico -climatizzatori )
oErrori umani nella gestione della sicurezza fisica
PROGRAMMAZIONE AZIONI DI ADEGUAMENTO
Misure tecniche ed organizzative ritenute adeguate :
A)Pseudonimizzazione – cifratura
B)Assicurare su base permanente :
oRiservatezza
oIntegrità
oDisponibilità
oReslilienza
C)Ripristino tempestivo della disponibilità dei dati
D)Ripristino tempestivo dell’accesso ai dati in caso di incidente fisico o tecnico
E)Procedure di test periodiche per verifica e valutazione efficacia misure adottate
F)Modulistica :
oScheda descrittiva
Scheda numero ______ compilata da __________________________________ il ________________
Tipo misura _________ ragioni per adozione ____________________ descrizione __________________
Dataa ggiornamento __________
oRischi
oTrattamenti
oMisure presenti
oMisure da adottare
oTempi
oStruttura delle persone per adozione misure
oVerifica dell’efficacia
oStruttura delle persone per monitoraggio
G)Criteri e procedure di ripristino disponibilità dei dati
Scheda numero ______ compilata da __________________________________ il ________________
Archivio ____________ criteri salvataggio e ripristino _______________________________________
Pianificazione prove di ripristino _________________________________________________________
H)Criteri e procedure per salvataggio dati
Scheda numero ______ compilata da __________________________________ il ________________
Archivio ____________ criteri e procedure di salvataggio _______________________________________
Luogo custodia copie _____________________ Incaricato salvataggio _____________________________
LISTA DEI DOVERI
• Attribuire correttamente i ruoli e definire il modello organizzativo di gestione dei dati.
• Se il trattamento si basa sul consenso, essere in grado di dimostrare che l’interessato ha concesso il proprio benestare.
• Se le finalità del trattamento non richiedono più l’identificazione dell’interessato,non conservare, acquisire o trattare ulteriori informazioni identificative.
• Adottare misure appropriate per fornire l’informativa all’interessato.
• Agevolare l’esercizio dei suoi diritti.
• Garantire all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano; osservare il diritto di trasmettere senza impedimenti
i dati a un altro titolare.
• Aderire ai codici di condotta o a un meccanismo di certificazione per dimostrare il rispetto degli obblighi del titolare.
• Mettere in atto misure organizzative per garantire che siano trattati solo i dati necessari alle specifiche finalità del trattamento.
• Valutare l’opportunità di utilizzare un meccanismo di certificazione approvato per dimostrare la conformità ai requisiti.
• Tenere un registro delle attività di trattamento svolte.
• Considerare il rischio per i diritti e le libertà delle persone, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
• Far sì che chiunque agisca sotto l’autorità del Titolare e che nessuno tratti i dati se non istruito.
• In caso di violazione, notificarla all’autorità di controllo senza ingiustificato ritardo (ove possibile, entro 72 ore dalla scoperta).
• Documentare qualsiasi violazione dei dati personali, circostanze, conseguenze e provvedimenti adottati.
• Se presenta un rischio elevato per i diritti e le libertà delle persone, comunicare la violazione all’interessato senza ingiustificato ritardo.
• Nello svolgere una valutazione d’impatto, consultarsi con il DPO, qualora sia designato.
• Raccogliere le opinioni degli interessati o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
• Prima di procedere al trattamento, consultare l’autorità di controllo qualora la valutazione d’impatto presenti potenziali rischi elevati in assenza di misure.
• Ottemperare all’eventuale parere dell’autorità di controllo.
• Al momento di consultare l’autorità di controllo, comunicare tutte le informazioni prescritte.
• Designare sistematicamente un Data Protection Officer (DPO) quando necessario.
• Assicurare che il DPO sia tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati.
• Sostenere il DPO nell’esecuzione dei compiti fornendogli le risorse necessarie per mantenere la propria conoscenza specialistica.
• Non rimuovere o penalizzare il DPO, e assicurarsi che non riceva alcuna istruzione per l’esecuzione dei propri compiti.
• Fornire all’organismo di certificazione tutte le informazioni e l’accesso alle attività di trattamento.
• Garantire la conformità al Regolamento.
• Attestare nel registro dei trattamenti la valutazione e le garanzie prescritte dal Regolamento.
• Per essere esonerato dalla responsabilità, essere in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
• Per garantire che i dati non siano conservati più a lungo del necessario, stabilire un termine per la cancellazione o per la verifica periodica.
Tutte queste attività devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.
PASSI PRELIMINARI
-Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole. Valutare cosa significa in concreto dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati.
-Sperimentare nuove forme di informative visuali basate su icone.
-Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
-Dotarsi di software sentinella per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali e verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.
-Sperimentare la privacy by design e effettuare il Privacy Impact Assessment, affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti.
-Pensare a come introdurre un Data Privacy Officer in azienda.
-Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei database aziendali.
-Definire le nuove regole di acquisizione e documentazione del consenso.
-Verificare con cura i fornitori dei dati. Questo è il tempo in cui fare test, test e ancora test.
-Verificare se si trattano dati di minori tenendo conto che le nuove regole impongono di gestire anche il consenso degli esercenti la potestà di genitore con il consenso del minore al di sotto dei 16 anni.
VERIFICA INFORMATIVA
a) L’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
b) I dati di contatto del responsabile della protezione dei dati, ove applicabile
c) Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
d) Se il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi
e) Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
f) Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione
g) Il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
h) L’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
i) L’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
l) Il diritto di proporre reclamo a un’autorità di controllo
m) Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati
n) L’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
CONTROLLI CRITICI PER LA SICUREZZA DEI DATI
Inventario dei dispositivi autorizzati e Non autorizzati
Inventario del software autorizzato e non autorizzato
Configurazione sicura di hardware e software su dispositivi mobili, laptop, workstation e server
Valutazione e correzione continue delle vulnerabilità
Uso controllato dei privilegi amministrativi
Manutenzione, monitoraggio e analisi dei registri di audit
Protezioni per e-mail e browser web
Difese contro il malware
Limitazione e controllo di porte, protocolli e servizi di rete
Capacità di recupero dati
Configurazioni sicure per dispositivi di rete come firewall, router e switch
Difesa dei confini
Protezione dei dati.
Accesso controllato basato sul principio del “need to know”
Controllo wireless degli accessi
Monitoraggio e controllo degli account
Valutazione delle competenze di sicurezza e appropriata formazione per colmare le lacune