(Descrizione delle attività ricomprese nell’adeguamento al GDPR in formato "Gold")

1° FASE (Analisi dell’impatto dell’applicazione del GDPR)

1.1 (Titolare del trattamento dei dati) Identificazione del titolare dei dati così come identificato dall’art. 4 n.7 GDPR:

<>;

1.2 (Responsabili del trattamento) Identificazione del responsabile dei dati (interno o esterno) così come identificato dall’art. 4 n.8 GDPR:

<<La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento>>;

1.3 (Informativa e consensi) Verifica della presenza dell’aggiornamento dell’informativa e dei consensi;

1.4 (Privacy by design) Identificazione del/dei software (erp, saas...) hardware e archivio/i in cui circolano i dati e la loro conservazione;

Incorporazione della Privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche:

• Videosorveglianza
• IOT
• Biometria
• Marketing
• Posta elettronica
• Cloud
• IA

1.5 (Privacy by default) Verifica del rispetto della normativa in materia della privacy nel caso in caso di circolazione dei dati;

1.6 (Registro delle attività di trattamento) Identificazione del tipo di trattamenti e finalità. Valutare i rischi per la riservatezza, alla luce delle misure esistenti o pianificate. Realizzato indicando le misure (esistenti o pianificate) che contribuiscono alla sicurezza dei dati oggetto del trattamento. Registro delle attività così come disciplinato dall’art. 30 del GDPR deve contenere: 

<>;

1.7 (Data breaches) Gestione dell perdita totale o parziale, hacking, dati danneggiati;

1.8 (DPIA - Data Protection Impact Assessment e la sicurezza dei dati) Valutazione d’impatto sulla protezione dei dati. Gestione ai sensi del’art. 32 GDPR della sicurezza del trattamento:

<<...il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio...>>;

1.9 (DPO - Data Protection Officer) Nomina del DPO se necessario - art. 37 GDPR: 

in caso di trattamenti di dati di massa che richieda monitoraggio regolare e sistematico di dati su larga scala - o in trattamenti su larga scala di categorie particolari di dati personali (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati relativi a condanne penali e a reati. 

1.10 (Diritto alla cancellazione - diritto all’oblio) Identificare la possibilità della cancellazione dei dati dell’interessato (iscrizione newsletter, gestione dati per adempimenti...);

1.11 (Diritto alla portabilità dei dati) In caso ci cessione dei dati ad una terza parte intra Ue o extra Ue. Normativa di riferimento art 47 comma 2 lettera b) GDPR;

1.12 (Formazione e istruzione agli incaricati) Formazione dipendenti/collaboratori che lavorano con i dati (solo letture, inserimenti, modifiche, integrazione, cancellazione);

1.13 (Valutazione sulla compliance dell’adeguamento al GDPR) Rilascio di una valutazione da 0 a 10 sulla compliance dell’adeguamento;

2° FASE (Adeguamento)

2.1 (Nomina del/i Responsabile/i esterno/i)

2.2 (Nomina dei titolari dei dati)

2.3 (Redazione dell’informativa e consensi)

2.4 (Creare o integrare l Privacy by design e by default) Adeguare lo/gli strumento/i in uso per lo scopo lavorativo alla privacy (informativa e consenso dell’interessato, classificazione fin dall’inizio i dati sensibili e mezzi per mantenerli);

2.5 (Registro delle attività) Definire i trattamenti e la finalità d’uso dei dati;

2.6 (Data breaches) Creazione procedure e moduli in caso di data breach (comunicazioni agli interessati e/o all’autorità del garante se necessario). Prevedere una persona dedicata in questo caso tranne se l’azienda alle risorse interne e formate;

2.7 (DPIA - Data Protection Impact Assessment e la sicurezza dei dati) Definizione del contesto (trattamenti dati sensibili, di massa, confidenziali...) dei principi fondamentali (obbligo di dare il consenso oppure no - dati sanitari usati per emergenza, dati per profilazione marketing...) dei i rischi e le misure adottate per diminuire il rischio (audit privacy: valutazione processi aziendale).

2.8 (Diritto alla cancellazione - diritto all’oblio) Creazione di procedure ad hoc per rispettare il diritto all’oblio;

2.9 (Diritto alla portabilità dei dati) Ottenere il consenso della portabilità dei dati e assicurarsi che i dati trasferiti siano trattati secondo la normativa privacy;

2.10 (formazione e istruzione agli incaricati) Formazione dei soggetti incaricati;

2.11 (Chiusura dell’adeguamento) Al termine dell’adeguamento verrà rilasciata l’informativa, il consenso, il registro delle attività, le date per l’audit. 

3°FASE (Mantenimento)

3.1 (Audit periodico) Audit con cadenza annuale;

3.2 (Interventi correttivi) 

3.3 (Cambio Attività)