skip to Main Content
[fancy_heading h1=”1″ style=”line” title=”Step By Step”]I passi necessari per ottenera la Compliance GDPR[/fancy_heading]
[how_it_works border=”0″ image=”2566″ number=”1″ link=”#analisi” title=”Analisi preliminare”]analisi preliminare e raccolta delle informazioni sull’organizzazione aziendale.[/how_it_works]
[how_it_works border=”0″ image=”2568″ number=”2″ link=”#secondo” title=”Individuazione”]Attribuzione delle figure preposte al Trattamento dei Dati e DPO[/how_it_works]
[how_it_works border=”0″ image=”2480″ number=”3″ title=”Politiche di sicurezza” link=”#sicurezza”]Valutazione dei rischi per l’intera gestione del ciclo di trattamento dei dati.[/how_it_works]
[how_it_works border=”0″ image=”2564″ number=”4″ title=”Documentazione” link=”#sicurezza”]Realizzazione personalizzata di tutta la documentazione[/how_it_works]
[how_it_works border=”0″ image=”2481″ number=”5″ title=”Data Breach” link=”#breach”]Implementazione della procedura di Data Breach da comunicare al Garante entro le 72 ore dall’evento[/how_it_works]
[how_it_works border=”0″ image=”2570″ number=”6″ title=”Valutazione impatto” link=”#breach”]procedure che consentono di valutare gli aspetti relativi alla protezione dei dati.[/how_it_works]

1 step valutazione della compliance in atto nel sistema

Analisi preliminare: AS IS

Il primo step da affrontare è sicuramente quello della valutazione del “dove siamo” ossia della situazione attuale.

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

Alla fine di questa fase si sarà arrivati alla produzione di una documentazione descrittiva di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora.

E’ questa la fase in cui si può cominciare a creare una bozza del Registro delle attività di trattamento (articolo 30).

2 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato
  • DPO MANAGER

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

3 Politiche di sicurezza

Approccio “risk-based

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

4 Documentazione

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

5  PUNTO – Data Breach

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

6 – Valutazione d’impatto DPIA

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

Close search

Carrello

Back To Top