Con l’entrata in vigore del GDPR ci sono molte cose da fare. Gli adempimenti del GDPR sono ormai realtà e obbligo già da diversi mesi, ma sono molte le aziende che hanno ancora dubbi e timori sulla corretta attuazione degli adempimenti e sul pieno rispetto degli obblighi di legge.
Del resto si tratta di una normativa "monumentale", un vero pilastro destinato a cambiare radicalmente l'approccio alla gestione della privacy e dei dati personali, la cui attuazione presenta qualche inevitabile complessità e richiede estrema attenzione.
È per questo che abbiamo voluto stilare un vademecum di 7 azioni, 7 cose da fare per il GDPR, fortemente raccomandate per la gestione, l'aggiornamento e il monitoraggio della Data Protection ICT aziendale secondo normativa Reg. EU n. 679/16 (GDPR).
La "valutazione d'impatto sulla protezione dei dati" o "DPIA - Data Protection Impact Assesment" è un processo che serve a descrivere un trattamento di dati personali, a valutare la sua necessità e la proporzionalità e a gestire gli eventuali rischi da esso derivanti per i diritti e le libertà delle persone attraverso una valutazione del livello del rischio. Il DPIA è dunque uno strumento fondamentale per i titolari e i responsabili del trattamento, anche ai fini dell'attuazione dell'approccio alla protezione dei dati personali previsto dalla normativa e definito dall'accountability principle.
Il Registro dei trattamenti è lo strumento che consente di tenere traccia delle operazioni effettuate sui dati personali degli interessati. Effettuare verifiche annuali su questi aspetti consente di determinare se quanto previsto dalla normativa sia stato effettivamente svolto e se ciò sia avvenuto nel modo corretto, per porre rimedio prima che le eventuali criticità emergano, in sede di controllo o a seguito di qualche problema
Gli AdS - Amministratori di Sistema sono i soggetti preposti alla sicurezza, alla gestione e alla manutenzione di banche dati, sistemi e infrastrutture informatiche. Verificare la loro attività consente di allineare il loro lavoro con gli adempimenti e gli accorgimenti previsti dalla normativa.
Non basta garantire la sicurezza attraverso il monitoraggio e i presidi di controllo e protezione. Per avere davvero la situazione sotto controllo è necessario che siano previsti controlli periodici e che i risultati di tali verifiche siano riportati in appositi report, che siano di supporto per eventuali future anomalie e che ci aiutino a capire quando e perché si sono verificate.
Strumento fondamentale, sia in ottica di sicurezza che in termini di adempimenti GDPR, il VA - Vulnerability Assessment è un'analisi di sicurezza volta a rilevare tutte le possibili vulnerabilità della rete, dei sistemi e delle applicazioni aziendali, anche in ottica di intrusione.
L'accesso alla rete aziendale da parte di dispositivi aziendali e personali deve essere attentamente monitorato e i dispositivi devono essere censiti. Una verifica periodica consente di verificare che non ci siano intrusioni e il report annuale ci permette di comprendere l'evoluzione delle esigenze della rete, sia in termini di infrastruttura che, soprattutto, di sicurezza.
Ogni piccola criticità dei sistemi ICT può rappresentare un campanello d'allarme per la sicurezza e, pertanto, l'opportuna segnalazione consente di gestire la correzione dei problemi nel modo migliore, con uno sguardo che va oltre il singolo evento o episodio e che si concentra sugli aspetti legati alla sicurezza, oltre che al funzionamento del sistema.
A seguito di un incidente, con conseguente compromissione dei dati, la meticolosa raccolta della documentazione può fare la differenza, sia in termini di riparazione del danno che per la gestione dei rapporti con il Garante.
Queste sette azioni mettono quanto più possibile al sicuro l'azienda e la sua capacità di gestire e proteggere i dati che le sono affidati. Sebbene non sia mai possibile avere un livello di sicurezza che ci tuteli al 100%, infatti, disporre di un protocollo scrupoloso e di buone pratiche come queste ci consente di affrontare con serenità l'ordinario e lo straordinario, per complesso e imprevedibile che possa essere. Approfondisci il tema del GDPR e scopri come TT Tecnosistemi può supportarti in ogni singola fase di assessment tecnologico, per proteggere la tua azienda e mantenere la compliance.