Step By Step

I passi necessari per ottenera la Compliance GDPR
1

Analisi preliminare

analisi preliminare e raccolta delle informazioni sull’organizzazione aziendale.
2

Individuazione

Attribuzione delle figure preposte al Trattamento dei Dati e DPO
3

Politiche di sicurezza

Valutazione dei rischi per l’intera gestione del ciclo di trattamento dei dati.
4

Documentazione

Realizzazione personalizzata di tutta la documentazione
5

Data Breach

Implementazione della procedura di Data Breach da comunicare al Garante entro le 72 ore dall’evento
6

Valutazione impatto

procedure che consentono di valutare gli aspetti relativi alla protezione dei dati, prima che questi vengono trattati.

1 step valutazione della compliance in atto nel sistema

Analisi preliminare: AS IS

Il primo step da affrontare è sicuramente quello della valutazione del “dove siamo” ossia della situazione attuale.

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

Alla fine di questa fase si sarà arrivati alla produzione di una documentazione descrittiva di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora.

E’ questa la fase in cui si può cominciare a creare una bozza del Registro delle attività di trattamento (articolo 30).

2 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

3 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

4 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

5  PUNTO – ruoli e responsabilità’

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

6 Individuazione delle figure previste dal GDPR – ruoli e responsabilità’

E’ in questa fase che vengono definite le figure interessate:

  • Titolare
  • Contitolare
  • Responsabile del trattamento dei dati
  • Autorità
  • Interessato

conformemente al GDPR.

 

In questa fase sarà opportuno raccogliere (fare un vero e proprio inventario) tutte le informazioni che possono avere un’implicazione con i dati personali delle persone fisiche. Tale raccolta non deve limitarsi all’azienda stessa: nel caso in cui ci fossero aziende controllate o controllanti o comunque collegate l’analisi va estesa anche a queste realtà.

Nell’analisi del “AS IS” occorre fare una sorta di self screening di tutte le informazioni relative ai trattamenti dei dati: partendo da quelle prodotte per adeguarsi alla legislazione attuale (il Codice Privacy ed i provvedimenti del Garante Privacy), per poi raccogliere, più in generale, le informazioni relative a tutte le attività svolte e i settori di business in cui opera.

quarto pass0