IL REGOLAMENTO
Il regolamento riguarderà tutte le aziende e non sarà facoltativo, ma ‘toccherà’ le aziende ognuna in modo diverso.
Il regolamento è molto chiaro in relazione alle responsabilità, il Titolare è e sarà sempre ritenuto responsabile di aver adottato tutte le misure adeguate per la protezione dei dati trattati dalla propria Azienda.
Sarà suo l’onere di dimostrarlo mediante il ‘nuovo’ DPS, ovvero il documento di analisi del rischio.
Per chi non si adegua entro la data prevista sono state previste sanzioni anche molto importanti.
E’ previsto, tra le altre cose, un registro per i data breach subiti (violazione informatica) e che il Titolare è obbligato ad ‘autodenunciarsi’ entro 72 ore dal fatto.
Essendo oggi la quasi totalità dei dati trattata in modalità digitale, il regolamento introduce di fatto una serie di misure di qualità e di sicurezza (che necessiteranno di nuove misure informatiche) relative alla protezione ed alla resilienza dei dati conservati all’interno dei sistemi informativi.
ATTORI
A questo processo partecipano diversi attori:
- Il cliente (Voi), ovvero la dirigenza/il titolare, da ora in poi indicato come ‘Cliente’
- (Talvolta il titolare può essere sostituito dal responsabile Privacy/Quality Aziendale)
- La società fornitrice di servizi IT , da ora in poi indicato come ‘Consulente IT’
- La società fornitrice di servizi consulenziali Privacy/Quality, da ora in poi indicato come ‘Consulente GDPR’
Tali aziende, potrebbero (e dovrebbero) essere in grado di fornire servizi specifici GDPR:
- asset and risk analysis (analisi del rischio)
- vulnerability & penetration test (esecuzione test di vulnerabilità interni ed esterni)
- remediation plan (piani di ‘rimedio’ al fine di conseguire la conformità)
- broker assicurativi (per l’assicurazione del rischio cyber)
IL PROCESSO
Possiamo idealmente dividere il processo in 3 fasi.
FASE 1 – RACCOLTA DELLE INFORMAZIONI
ATTORI COINVOLTI
Il Cliente, il consulente IT, il consulente GDPR.
ATTIVITA’
– Il Cliente consegnerà al Consulente GDPR tutta la documentazione relativa a:
- elenco dati trattati dall’azienda e modalità del trattamento
- eventuale documentazione quality/privacy già presente
- procedure di gestione dei dati cartacee, digitali.
– Il Consulente IT consegnerà al Consulente GDPR tutta la documentazione relativa a:
- ogni misura IT applicata relativa alla salvaguardia e d alla protezione dei dati sia sui sistemi server, cloud, e cliente.
- i risultati dell’analisi con evidenza di un livello di rischio (relativo al trattamento dei dati per il Cliente),
- un piano di ‘remediation’ ovvero opzioni di rimedio per le misure giudicate non adeguate (a 360° ovvero cartacee, procedurali, legali e informatiche),
- il Cliente, con il supporto delle altre terze parti, ed in base ai risultati dell’analisi, deciderà quali misure adottare.
File dei Termini e Condizioni
Sottoscrivi
Report