Autovalutazione della conformità normativa al GDPR

Prima di poter stabilire quale livello di sicurezza sia adeguato per la tua attività, devi riesaminare i dati personali in tuo possesso e valutarne i rischi.

È necessario considerare tutte le procedure coinvolte durante la raccolta, l'archiviazione, l'utilizzo, la condivisione e l'eliminazione dei dati personali. Inoltre, considera quanto sono sensibili o riservati i dati e quali danni o preoccupazioni potrebbero essere causati agli interessati, oltre al danno reputazionale alla tua azienda, in caso di violazione della sicurezza.

Una volta compiuti i passaggi descritti nei punti precedenti è quindi possibile iniziare a scegliere le misure di sicurezza appropriate per le proprie esigenze.

Inoltre, nell'ambito di un approccio di protezione dei dati fin dalla progettazione (privacy by design), è necessario condurre una valutazione dell'impatto sulla protezione dei dati (DPIA) in circostanze specifiche per valutare i rischi per la privacy. È necessario effettuare una DPIA prima di iniziare qualsiasi tipo di trattamento che "rischia di comportare un rischio elevato". Ciò significa che, sebbene non abbia ancora valutato il livello effettivo di rischio, è necessario passare in rassegna quei fattori che presentano il potenziale per un impatto diffuso o grave sugli individui.

Una politica aziendale ti consentirà di affrontare i rischi per la sicurezza in modo coerente. Può far parte di una politica generale di gestione o essere incardinata in una politica autonoma supportata da azioni specifiche.

La tua politica aziendale dovrebbe definire chiaramente l'approccio alla sicurezza insieme alle responsabilità per la sua realizzazione e attuazione.

È necessario disporre di metodi per esaminare e approvare le politiche e le procedure prima di attuarle e di eseguire delle revisioni quando oppportuno.

È buona norma predisporre uno standard, che delinei la modalità concordata che tutte le politiche, procedure e documenti di orientamento devono seguire e comunicarlo ai dirigenti e al personale interessato.

È buona norma indicare una persona o un settore della propria attività con la responsabilità quotidiana per lo sviluppo, la realizzazione e il controllo della propria politica di sicurezza. Questi dovrebbe avere l'autorità e le risorse necessarie per adempiere a tale responsabilità in modo efficace. Per le organizzazioni più grandi, è comune nominare degli amministratori per la sicurezza e l'uso dei sistemi aziendali.

Senza una chiara responsabilizzazione per la sicurezza dei sistemi e dei processi specifici, la tua sicurezza complessiva non sarà gestita o coordinata correttamente e diventerà rapidamente inefficace e obsoleta.

Molte piccole aziende esternalizzano alcune o tutte le loro esigenze di trattamento dei dati a servizi esterni, incluso il cloud.

È necessario un contratto scritto, o altro atto legalmente valido, tra te (in qualità di titolare del trattamento) e il fornitore o responsabile del servizio. Tali contratti devono includere almeno alcune clausole specifiche, compresi gli standard di sicurezza. In qualità di titolare del trattamento, sei responsabile della conformità generale al GDPR e della dimostrazione di tale conformità. Tuttavia i responsabili del trattamento hanno alcune responsabilità e obblighi legali diretti. Devi essere sicuro che tutti i responsabili di cui ti avvali trattino i dati personali per tuo conto in modo sicuro, in linea con i requisiti del GDPR.

È necessario scegliere una terza parte, fornitore o responsabile del trattamento, che fornisca garanzie sufficienti sulle sue misure di sicurezza. Per assicurarti che dispongano di adeguati dispositivi di sicurezza potresti, ad esempio, riesaminare eventuali valutazioni di sicurezza elaborate da loro e, se del caso, visitare le loro sedi.

Il contratto con il responsabile del trattamento deve includere una clausola che lo obbliga a eliminare o restituire, secondo la tua volontà, tutti i dati personali che ha trattato per tuo conto. Il contratto deve inoltre garantire che elimini le copie esistenti dei dati personali a meno che la legislazione dell'UE o degli Stati membri non richieda che vengano archiviati.

Se si utilizza un fornitore di servizi o un responsabile del trattamento per cancellare i dati e smaltire o riciclare le apparecchiature ICT, assicurati che lo facciano in modo adeguato. Sarai ritenuto responsabile se i dati personali da te raccolti vengono estratti dalle tue vecchie apparecchiature e rivenduti.

È necessario informare tutto il personale delle proprie responsabilità in materia di sicurezza, compreso l'uso appropriato dei sistemi aziendali e delle apparecchiature ICT. Dovresti anche formare il tuo personale per riconoscere minacce comuni come e-mail di phishing e infezioni da malware e su come riconoscere e segnalare violazioni dei dati personali.

È necessario garantire che il personale con specifiche responsabilità di sicurezza o con accesso privilegiato ai sistemi aziendali sia adeguatamente formato e qualificato.

È necessario pianificare la formazione in modo che abbia luogo nel momento o immediatamente dopo la nomina, con aggiornamenti a intervalli regolari e ogni volta che sia necessario. Dovresti anche rafforzare la formazione usando metodi diversi, tra cui poster, intranet, circolari e riunioni.

Misure di sicurezza ben progettate non funzioneranno se il personale non conosce o non segue le politiche e le procedure aziendali. È necessario rendere tali politiche e procedure disponibili a tutto il personale utilizzando intranet, librerie fisiche e virtuali o tramite volantini e cartelloni.

È buona pratica far circolare le novità e qualsiasi aggiornamento tramite bollettini o newsletter.