GDPR: Tool di auto-assessment

Il Nuovo Regolamento Generale sulla Protezione dei Dati Personali è entrato definitivamente in vigore il 25 Maggio 2018.

Per aiutare le aziende a fotografare la propria situazione interna con riferimento agli adempimenti richiesti dal GDPR, il Gruppo di Lavoro Sicurezza Informatica di Assintel ha realizzato un TOOL di auto-assessment sotto forma di questionario di auto-valutazione.

Le domande riguardano aspetti normativi (es. Informative, Nomine), organizzativi (es. Ruoli e Responsabilità previsti dal GDPR quali il Titolare, i Responsabili, ed il DPO se previsto) e tecnologici (misure tecnologiche di protezione dei dati adeguate al rischio) e il questionario è sviluppato in coerenza con le caratteristiche dell’azienda (es. n° dipendenti, trattamenti a rischio elevato, etc).

É uno strumento gratuito che fornisce, sulla base delle risposte fornite, indicazioni e informazioni utili sugli adempimenti previsti non ancora realizzati dall’azienda.

1.Analisi del contesto

Numero di Dipendenti

<250

>250

Che tipo di trattamento si svolge?

Occasionale

Il trattamento svolto può presentare un rischio per i diritti e le libertà dell'interessato

Il trattamento di dati prevede categorie di dati particolari o i dati personali relativi a condanne penali e a reati

Nessuno dei precedenti

Vengono realizzate attività di profilazione sugli interessati al fine di erogare servizi a valore aggiunto?

Selezionare la tipologia di trattamento dei dati personali

Il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico

Le attività principali del titolare del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati

Altro

Quale tipologia di trattamento dei dati viene realizzata?

Valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche

Trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati

Sorveglianza sistematica su larga scala di una zona accessibile al pubblico

Nessuno dei precedenti trattamenti

I dati personali vengono trasferiti fuori dalla Comunità Europea?

Se i dati personali sono trasferiti fuori dalla Comunità Europea, sono fornite agli interessati adeguate garanzie? Indicarne una

BCR (Binding Corporate Rules)

Certificazione

Codice di comportamento

Paese Adeguato

Privacy Shield

Clausole Contrattuali Standard

Consenso per il trasferimento

Deroghe al generale divieto di trasferimento (obbligo contratto, interesse vitale, interesse pubblico, dati provenienti da registri pubblici)

Nessuna delle precedenti

2.Assessment

Data Protection Risk Assessment

Anche se non obbligatorio è stato realizzato un Data Protection Impact Assessment?

E' stata definita ed adottata una procedura per lo svolgimento di Data Protection Impact Assessment?

E' svolta con regolarità una valutazione dei rischi di privacy adottando una metodologia formalizzata?

Registro dei trattamenti

E' stato realizzato un registro dei trattamenti conforme a quanto prescritto dal GDPR?

Ruoli, responsabilità e procedure

Anche se la figura del DPO non è obbligatoria, hai comunque nominato un DPO?

Sono stati individuati Contitolari del trattamento?

Sono stati sottoscritti opportuni accordi tra le parti in merito al trattamento dei dati personali?

N/A

E' definita e pubblicata una Policy aziendale sulla Sicurezza delle informazioni?

E' stata definita la Policy aziendale su GDPR, con assegnazione di ruoli e responsabilità dei responsabili di processo relativamente ai trattamenti di dati personali?

I nuovi progetti e i major change relativi ad applicazioni che trattano dati personali sono noti e approvati dal Titolare?

N/A

Esiste un reporting formale dei test eseguiti, comunicato al Titolare?

N/A

In aziende con presenza di dati personali critici o di media-grande dimensione sono stati individuati e nominati i Responsabili interni e gli Incaricati ai trattamenti?

N/A

Tutto il personale ed i collaboratori ricevono adeguata e periodica formazione in merito alla tutela dei dati personali e sono informati circa le loro responsabilità?

Sono state aggiornate le informative agli interessati del trattamento in relazione alle novità introdotte dal GDPR?

Sono state definite e applicate politiche di retention dei dati e di cancellazione degli stessi al termine del trattamento o su richiesta dell'interessato?

Sono definite procedure per rispondere ai quesiti degli interessati in merito al trattamento dei loro dati personali?

Sono state definite procedure per garantire il diritto all'oblio e alla portabilità attribuito agli interessati?

E' stata definita e formalizzata la procedura aziendale di Notifica relativa alle violazioni (data breach)?

Esiste una procedura di segnalazione e gestione degli incidenti con segnalazione alla Direzione degli incidenti gravi?

Sono definite le responsabilità e le procedure in caso di evento che comprometta la sicurezza dei dati?

Esiste un piano di Business Continuity, compreso il piano di Disaster Recovery?

N/A

BCP e DRP vengono testati periodicamente?

Relazioni con i Fornitori (Responsabili dei trattamenti di dati personali)

Sono stati individuati e nominati i responsabili esterni del trattamento, aggiornando le nomine secondo quanto previsto dal GDPR?

N/A

Sono stati individuati opportuni "template" relativi alle Nomine dei fornitori Responsabili esterni del trattamento con le relative clausole in coerenza con quanto previsto dal Regolamento (es. oblio, portabilità, data breach, etc)?

Sono stati censiti eventuali sub-fornitori che trattano dati personali?

N/A

Il processo di selezione dei fornitori tiene conto della loro idoneità rispetto ai temi di tutela dei dati personali?

N/A

Misure di sicurezza nei trattamenti

Sono effettuate copie di backup di sistemi operativi e dei dati?

N/A

I back up sono protetti e testati per assicurarne il regolare utilizzo?

N/A

E' presente un software antimalware su computer e server regolarmente e frequentemente aggiornato?

N/A

E' presente un processo strutturato di patch management?

N/A

L'ingresso al Data Center interno e nella Sede aziendale di terzi è opportunamante registrato e controllato?

N/A

E' stato adottato un sistema di log management per registrare e monitorare le attività di accesso ai sistemi da parte degli amministratori di sistema?

N/A

Gli utenti sono identificati in maniera univoca all'interno dei sistemi informativi?

N/A

I sistemi informatici adottano un politica per forzare l'utilizzo di password sicure?

N/A

I supporti cartacei contenenti dati personali/particolari/giudiziari sono archiviati in maniera sicura, consentendo l'accesso alle sole persone autorizzate?

N/A

I supporti cartacei contenenti dati personali/particolari/giudiziari sono distrutti in maniera sicura?

N/A

E' attuato un processo formale di registrazione e de-registrazione per gestire la corretta assegnazione degli account e relativi diritti di accesso per gli utenti?

N/A

L'accesso ai dati è registrato e monitorato?

Le utenze e i privilegi di accesso sono rivisti/eliminati in caso di cambio di mansione o cessazione del rapporto di lavoro?

N/A

Sono adottati adeguati sistemi di cifratura per i dati trattati per la comunicazione di dati particolari e/o giudiziari?

N/A

I sistemi ICT sono configurati per adempiere tempestivamente all'esercizio del diritto d' oblio da parte degli interessati?

N/A

Esiste una procedura di change delle infrastrutture e delle applicazioni ICT?

N/A

E' presente una infrastruttura di rete adeguatamente protetta?

N/A

E' presente un sistema di scansione delle vulnerabilità periodico (almeno annuale) per tutti i sistemi ICT aziendali?

N/A

Vengono effettuati specifici penetretion test periodici sui servizi critici?

N/A

Le applicazioni WEB che trattano dati personali critici sono oggetto di penetration test in fase di sviluppo?

N/A

Provvedimenti del Garante

Viene utilizzato un sistema di videosorveglianza?

Sono stati affissi i cartelli informativi per la videosorveglianza?

Sono stati individuati gli incaricati all' accesso alle immagini?

Dopo quante ore vengono cancellate le immagini?

24 ore

Oltre 24H

Oltre 24H ma per giustificati motivi di sicurezza

Sono stati individuati e nominati gli amministratori di sistema?

E' stato adottato un sistema di log management per registrare e monitorare le attività di accesso ai sistemi da parte degli amministratori di sistema?

N/A

Sono rispettate le indicazioni del Garante in tema di cookies?

N/A

Sono rispettate le indicazioni del Garante relative ad Internet e posta elettronica?

N/A

Profilazione

Le attività di profilazione sono svolte previo consenso dei soggetti interessati?

Lo svolgimento di tali attività è comunicata all'interessato attraverso l'informativa, specificando la logica di tali processi decisionali e le conseguenze previste per l'interessato?

Vengono adottati sistemi di cifratura o di pseudoanonimizzazione dei dati per finalità di profilazione?

Consenso

I trattamenti di dati personali sono svolti in virtù di una specifica base giuridica (es. raccolta del consenso, adempimento di un contratto di cui l'interessato è parte, adempimenti di legge, ecc.)?

L'azienda ha adottato soluzioni che le permettano di raccogliere i consensi espressi dai soggetti interessati e di aggiornarli in base alle richieste degli stessi (es. revoca del consenso)?

N/A

In caso di revoca del consenso allo svolgimento di un trattamento, l'azienda ha previsto una procedura per la cancellazione dei dati dell'interessato relativi a quel trattamento?

N/A

Sono recepite e gestite nei sistemi/applicazioni le scelte espresse dagli interessati in fase di rilascio del consenso?

N/A

Privacy by design e privacy by default

I nuovi trattamenti di dati personali sono valutati preventivamente, in sede di progettazione, attraverso una valutazione di rischio (DPRA o DPIA)?

N/A

Tale valutazione tiene conto della criticità dei dati trattati, delle caratteristiche del trattamento; degli adempimenti necessari ad assicurare il rispetto del GDPR, degli aspetti di tutela dei diritti dell'interessato e di protezione dei dati personali?

N/A

Sulla base di tali valutazioni, l'azienda individua e applica già in fase di progettazione misure tecniche e organizzative adeguate per assicurare il rispetto del GDPR, la tutela dei diritti dell'interessato e la protezione dei dati personali?

N/A

I sistemi di trattamento sono predisposti in modo da assicurare, per impostazione predefinita, che siano trattati solo i dati personali necessari e sufficienti per le finalità previste e solo per il periodo strettamente necessario a tali fini?

N/A