GDPR

Sei a conoscenza che il 25 Maggio del 2018 dovrai essere in regola con il GDPR?
- SI
- NO
Cosa c’è da sapere in merito: Entrerà in vigore tra meno di un anno, il 25 Maggio 2018, il nuovo Regolamento Generale sulla Protezione dei dati, meglio noto con l'acronimo "GDPR – General Data Protection Regulation", una normativa approvata dal Parlamento Europeo nell'Aprile 2016. L'obiettivo è quello di armonizzare le leggi sulla riservatezza delle informazioni e sulla privacy di tutti i Paesi Europei e tenere al sicuro i dati sensibili degli utenti processati dalle aziende. Il GDPR, andando a sostituire le normative dei singoli Paesi Europei diverse le une dalle altre, costituisce un importante passo in avanti in tema di standardizzazione delle politiche europee e di protezione dei dati a livello continentale.

Esiste una policy di protezione dei dati? È messa a disposizione dei vostri clienti, partners e dipendenti?
- SI
- SI, MA SOLO INTERNA
- No
Cosa c’è da sapere in merito: Il GDPR prevede la creazione di una policy privacy per documentare il trattamento dei dati. Questa documentazione ha lo scopo di far prendere coscienza a tutti del percorso che l'azienda ha intrapreso verso gli interessati. Migliorerà la comprensibilità del trattamento stesso da parte delle autorità di vigilanza e da parte dei clienti e fornitori, rafforzando quindi la loro fiducia.

I vostri dipendenti sono consapevoli dei cambiamenti che stanno per avvenire con l’entrata in vigore del GDPR?
- SI
- NO
Cosa c’è da sapere in merito: E' fondamentale che il Responsabile del trattamento vigili affinché ad ogni dipendente sia data la possibilità di essere edotto sul nuovo codice europeo attraverso sessioni di formazione apposite.

Avete un registro dei trattamenti adeguato ai requisiti del GDPR e modificabile in tempo reale?
- SI
- NO
Cosa c’è da sapere: Il GDPR ha rimosso gli obblighi di notifica al Garante introducendo il registro dei trattamenti che deve sempre essere aggiornato e a disposizione delle Autorità preposte ai controlli. Per le aziende con meno di 250 dipendenti questa regola può non essere osservata ma a patto che non trattino dati sensibili o giudiziari di nessun tipo.

La vostra organizzazione può agevolmente certificare in breve tempo dove vengono archiviati tutti i trattamenti dei dati?
- SI
- NO
Cosa c’è da sapere in merito: E' fondamentale avere sempre l'esatta documentazione di tutti i dati trattati. A volte e-mail, cloud, backup sfuggono alla logica della catalogazione ma sono dei veri e propri contenitori di dati , spesso sensibili. Per questo il GDPR chiede la Redazione del registro dei trattamenti.

Informate per scritto i vostri dipendenti, clienti, fornitori sui loro diritti quali accesso ai dati, modifica, cancellazione dei trattamenti che li rugarda e relative finalità?
- SI
- NO
Cosa c’è da sapere: Il GDPR prevede che il consenso al trattamento sia fornito in modo esplicito, specifico e inequivocabile.

La tua organizzazione è in grado di fornire dettagli su tutti gli incaricati con cui condivide i dati personali?
- SI
- NO
Cosa c’è da sapere in merito: Con l'entrata in vigore del GDPR si deve essere sempre in grado, in qualsiasi momento di dare informazioni dettagliate su chi tratta i dati dell'interessato, come vengono trattati, perche e con quali mezzi e privilegi amministrativi. Per questo è stato istituito il registro dei trattamenti e la figura del D.P.O.

Nella vostra organizzazione avete un sistema per permettere agli interessati di modificare in tutto o in parte i propri dati?
- SI
- NO
Cosa c’è da sapere in merito: Occorre adottare misure per fornire agli individui i mezzi per richiedere e accedere ai propri dati personali a titolo gratuito, in modo che essi possano liberamente modificare, cancellare o esercitare la loro opposizione al trattamento.

Nel caso di un incidente che coinvolge i dati personali, avete creato un processo di raccolta informazioni e gestione dell’incidente?
- SI
- NO
Cosa c’è da sapere in merito: Nel caso di un incidente che coinvolge dati personali come intrusione, malware ecc, il Responsabile della Protezione dei Dati deve garantire un processo di gestione dell'incidente e notificare al Garante. Per scongiurare la notifica agli interessati occorre riuscire a dimostrare al Garante di avere posto in essere tutte le misure di sicurezza ragionevolmente adottabili per impedire l'incidente.

Nella vostra organizzazione è presente un piano di valutazione dei rischi trattamento per trattamento in grado di dare l’esatta dimensione della sicurezza di quest’ultimi?
- SI
- NO
Cosa c’è da sapere in merito: Le aziende sono tenute a redigere un DPIA (Data protection impact assessment o valutazione dell'impatto sulla protezione dei dati)con tutte le informazioni dettagliate per trattamento.

La vostra organizzazione ha adottato anti-virus centralizzati?
- SI
- SI, con DLP (data loss prevention)
- SI, con DLP e MDM (mobile device management)
- NO
Cosa c’è da sapere in merito: Aumentare le misure minime di sicurezza permette di evitare notifiche al Garante e accresce la sicurezza aziendale.

La vostra organizzazione utilizza un sistema centralizzato di criptazione?
- SI
- NO
Cosa c’è da sapere: Adottare sistemi di criptazione permette, in caso di intrusione di non dover fare alcuna notifica

Adottare sistemi di backup in cloud certificati?
- SI
- NO
Cosa c’è da sapere: La sicurezza dei dati dipende soprattutto dalla capacità e velocità con le quali si può ripristinare i dati in caso di attacco da ransomware.

I veicoli della vostra organizzazione hanno a bordo dispositivi di geolocalizzazione?
- SI e ho assolto a tutti gli obblighi per il GDPR
- SI ma non ho assolto tutti gli obblighi per il GDPR
- NO
Cosa c’è da sapere: La geolocalizzazione dei veicoli aziendali è una scelta legittima che mira a ottimizzare le risorse. Ma non dovete dimenticare che servono incartamenti da adempiere e consegnare e altri da tenere sempre nei mezzi.

Avete sistemi di videosorveglianza?
- SI e ho assolto tutti gli obblighi GDPR
- SI ma non ho assolto tutti gli obblighi GDPR
- NO
Cosa c’è da sapere in merito: La videosorveglianza protegge i dipendenti e il patrimonio aziendale ma non deve essere mai eccedente e soprattutto corredata da incartamenti a norma di GDPR.

LA TUA AZIENDA E’ PRONTA?