Step By Step
Analisi preliminare
Politiche di sicurezza
Data Breach
Valutazione impatto
1 step valutazione della compliance in atto nel sistema
Analisi preliminare: AS IS
Il primo step da affrontare è sicuramente quello della valutazione del “dove siamo” ossia della situazione attuale.
In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.
Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.
Alla fine di questa fase si sarà arrivati alla produzione di una documentazione descrittiva di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora.
E’ questa la fase in cui si può cominciare a creare una bozza del Registro delle attività di trattamento (articolo 30).
2 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’
E’ in questa fase che vengono definite le figure interessate:
- Titolare
- Contitolare
- Responsabile del trattamento dei dati
- Autorità
- Interessato
conformemente al GDPR.
In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.
Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.
3 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’
E’ in questa fase che vengono definite le figure interessate:
- Titolare
- Contitolare
- Responsabile del trattamento dei dati
- Autorità
- Interessato
conformemente al GDPR.
In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.
Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.
4 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’
E’ in questa fase che vengono definite le figure interessate:
- Titolare
- Contitolare
- Responsabile del trattamento dei dati
- Autorità
- Interessato
conformemente al GDPR.
In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.
Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.
5 PUNTO – ruoli e responsabilità’
E’ in questa fase che vengono definite le figure interessate:
- Titolare
- Contitolare
- Responsabile del trattamento dei dati
- Autorità
- Interessato
conformemente al GDPR.
In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.
Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.
6 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’
E’ in questa fase che vengono definite le figure interessate:
- Titolare
- Contitolare
- Responsabile del trattamento dei dati
- Autorità
- Interessato
conformemente al GDPR.
In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.
Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.