1. Hai definito l'organizzazione interna ed un organigramma privacy con compiti e responsabilità?

Correct! Wrong!

Definire un'organizzazione privacy interna, risponde a un principio cardine del GDPR Scopri perchè

2. Hai diffuso l'organigramma, è facilmente consultabile, tutti sanno a chi rivolgersi?

Correct! Wrong!

Tutte le risorse devono conoscere le figure principali dell’organizzazione privacy in maniera che tutti sappiano a chi rivolgersi in caso di dubbi o violazioni dei dati. Scopri perchè

3. Hai redatto e diffuso un regolamento interno privacy al quale tutta l'organizzazione deve attenersi durante le attività di trattamento dei dati personali?

Correct! Wrong!

Redigere un regolamento privacy, risponde a un principio cardine del GDPR Scopri perchè

4. Hai sensibilizzato e formato il personale sulla nuova normativa privacy? Lo puoi dimostrare?

Correct! Wrong!

L' articolo 29 del GDPR evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare” Scopri perchè

5. Hai mappato tutti i trattamenti dati svolti nella tua organizzazione e svolto l'analisi dei rischi? Lo puoi dimostrare?

Correct! Wrong!

Come parte del progetto di conformità al Regolamento generale sulla protezione dei dati (GDPR) è necessario mappare tutti i trattamenti dei dati personali Scopri perchè . Individuati e descritti i trattamenti è opportuno svolgere per ogni trattamento un’analisi dei rischi di una eventuale violazione per i diritti e le libertà delle persone Scopri perchè

6. Se uno o più trattamenti presentano dei rischi per i diritti e le libertà delle persone hai svolto le relative valutazioni di impatto?

Correct! Wrong!

Oltre all’analisi dei rischi, ogniqualvolta sussistano determinate condizioni il GDPR richiede esplicitamente la valutazione d’impatto (DPIA) la cui mancata esecuzione comporta sanzioni per il titolare Scopri perchè

7. Hai redatto il registro dei trattamenti e definito chi deve aggiornarlo?

Correct! Wrong!

La tenuta del registro dei trattamenti è prevista dall'articolo 30 del regolamento europeo, ed è considerata indice di una corretta gestione dei trattamenti Scopri perchè Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere ed è quindi necessario definire chi dovrà curare la corretta tenuta del registro. . Scopri perchè

8. Hai definito una procedura per gestire eventuali "Data breach" e istituito un registro per annotarne le modalità di gestione, definendo anche chi deve occuparsi di tenerlo aggiornato?

Correct! Wrong!

Il Registro delle Violazioni è un adempimento necessario ai sensi del GDPR, ciò risulta chiaro da una lettura attenta dell'articolo 33 del Regolamento EU 679/2016 Scopri perchè

9. Se affidi alcuni trattamenti o parte di trattamenti a responsabili esterni, hai verificato se questi rispettano le norme sulla privacy? Li hai nominati tramite un accordo/contratto scritto?

Correct! Wrong!

L’articolo 28 del GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate Scopri perchè

10. Hai valutato se nominare il DPO?

Correct! Wrong!

Il DPO è designato dal titolare o dal responsabile del trattamento (art. 37 GDPR), in base ad un contratto. La designazione dovrà essere comunicata all'Autorità di controllo nazionale. Esistono alcuni casi in cui è obbligatorio procedere alla nomina di un DPO, altri in cui è fortemente consigliato. Scopri perchè

11. Se hai individuato delle non conformità o degli aspetti che puoi migliorare per rendere i trattamenti dati più sicuri hai implementato un piano d'azione o remediation plan?

Correct! Wrong!

Per intraprendere un percorso di adeguamento efficace, è opportuno esaminare periodicamente le modalità di trattamento dei dati personali e valutare se si possano rendere più sicuri ed efficaci, individuando delle azioni di miglioramento e riduzione dei rischi oltre che rimediare a situazioni di non conformità. E’ sempre necessario dimostrare la conformità attraverso idonei processi di reportistica e una documentazione aggiornata. Scopri perchè

12. Hai programmato delle verifiche per monitorare il costante rispetto della normativa e delle procedure definite?

Correct! Wrong!

Il principio di accountability è il fulcro attorno al quale si sviluppa l’intero GDPR. Non basta adeguarsi, ma bisogna mantenersi compliant al regolamento anche con il passare del tempo. Scopri perchè

13. Hai redatto l'informativa privacy

Correct! Wrong!

Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12 GDPR). Ciò avviene tramite l'informativa. Scopri perchè

14. Quando la base del trattamento è il consenso hai predisposto testi chiari, comprensivi e facilmente leggibili?

Correct! Wrong!

Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, al trattamento dei dati personali che lo riguardano. Scopri perchè

15. Hai previsto una procedura per la revoca dei consensi e l'esercizio dei diritti degli interessati?

Correct! Wrong!

La revoca al trattamento dati è un diritto che può essere esercitato da parte dell’interessato in qualsiasi momento, secondo alcuni presupposti ben precisi, e comporta anche alcuni oneri per il titolare del trattamento. Scopri perchè

16. Hai redatto e diffuso procedure di clean desktop policy

Correct! Wrong!

La protezione dei dati conservati su carta, è anch'essa disciplinata dal nuovo regolamento GDPR: devono, cioè, essere protetti dalla consultazione da parte di persone che non fanno parte del personale dell'azienda, finendo magari in mani sbagliate. Per questo motivo i documenti devono essere catalogati in modo corretto ed archiviati in sicurezza Scopri perchè

17. L'accesso agli archivi cartacei in cui sono custoditi i dati personali è controllato?

Correct! Wrong!

Gli archivi documentali sono oggetto del GDPR: chi raccoglie i dati deve mettere in atto una serie di procedure – personalizzate in base al proprio specifico caso e alla propria specifica attività – per contenere i rischi e garantire i diritti agli Interessati. Gli archivi documentali, ovviamente, possono essere sia digitali sia fisici, e questo è il motivo per cui anche gli archivi cartacei devono essere protetti secondo i principi e i doveri disciplinati dal nuovo Regolamento Scopri perchè

18. Conservi i dati cartacei che riguardano particolari categorie di dati personali (sensibili, biometrici, relativi alla salute, economici, casellario giudiziario ecc…) in archivi sottochiave?

Correct! Wrong!

Per i trattamenti di dati senza l’ausilio di strumenti elettronici, ovvero cartacei, è prevista l’adozione di una serie di misure minime di sicurezza volte anch’esse a garantire l’integrità dei dati e la loro sicurezza Scopri quali

19. Hai realizzato un inventario dell'hardware? Cioè una lista con le caratteristiche dei device (PC, Tablet, smartphone, server) utilizzati per i trattamenti dei dati personali?

Correct! Wrong!

E’ importante che l’architettura informatica sia inventariata correttamente in tutte le componenti e che, per ognuna, venga fatta un’analisi della resilienza operativa e in caso di disastro. Inoltre, è necessario aggiornare periodicamente l'inventario per assicurarsi che i dispositivi siano in linea con gli ultimi aggiornamenti disponibili e non siano, invece, obsoleti e non più idonei. Scopri perchè

20. Hai valutato se i device rilevati nell'inventario e utilizzati per i trattamenti siano ormai obsoleti e quindi non più sicuri?

Correct! Wrong!

Gli elaboratori utilizzati per il trattamento dei dati devono essere protetti dai rischi informatici legati all’azione di virus o intrusioni non autorizzate nella rete. Anche i sistemi operativi e i programmi installati nei PC utilizzati per il trattamento dei dati devono essere aggiornati per prevenirne la vulnerabilità e correggerne i difetti. Gli aggiornamenti devono avere una cadenza almeno annuale; in caso di dati sensibili o giudiziari l’aggiornamento deve essere eseguito semestralmente Scopri perchè

21. Hai realizzato e aggiorni un inventario dei software presenti e utilizzati per i trattamenti nei device rilevati dall'inventario hardware?

Correct! Wrong!

La corretta gestione dell'inventario consente di identificare e valutare potenziali rischi riguardanti la sicurezza delle informazioni in modo da evidenziarne l’esposizione a vulnerabilità e possibili minacce, come fase propedeutica alla valutazione dei rischi. Tenere e aggiornare un inventario software (così come quello Hardware), inoltre, aiuta a mantenere un adeguato livello di consapevolezza e accountability, così come espressamente richiesto dal GDPR Scopri perchè

22. I sistemi operativi dei dispositivi ed i software/applicazioni utilizzati sono licenziati e coperti dall'assistenza e dagli aggiornamenti?

Correct! Wrong!

Anche in questo caso, assicurarsi di usare sempre software autentici, licenziati e aggiornati, non solo aiuta a consolidare il proprio grado di accountability, ma aiuta a tenere protetti e al sicuro, i dati personali trattati Scopri perchè

23. Sono utilizzate delle passowords di autenticazione efficaci? Hai implementato una procedura per modificare le passwords a intervalli regolari?

Correct! Wrong!

Le password a protezione di archivi o di sistemi di accesso a informazioni personali, devono rispettare il principio generale dell’art. 32 del GDPR, quindi devono essere adeguatamente sicure in relazione ai sistemi e alle informazioni che devono proteggere Scopri come

24. Hai istallato antivirus, antispyware e anti malware sui dispositivi? Sono tempestivamente aggiornati o si aggiornano automaticamente?

Correct! Wrong!

Per il principio di proporzionalità, ovvero secondo l'importanza, la quantità e la particolarità dei dati che vengono trattati in azienda e la possibilità di quest'ultima di intervenire con i giusti correttivi, il Titolare del trattamento deve mettere in atto tutte le misure di sicurezza necessarie per garantire un adeguata protezione dei dati, sia digitali che cartacei. Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, dotarsi di un antivirus aggiornato ed efficiente, può aiutare al raggiungimento della compliance GDPR Scopri perchè Uno dei passi fondamentali per allinearsi alla compliance GDPR, è quello che il Titolare deve fare verso il consolidamento della sicurezza informatica. A tale scopo è necessario implementare gli strumenti di sicurezza adatti come ad esempio sistemi antivirus, anti malware e antispyware validi ed efficaci. Naturalmente insieme ad un buon pacchetto di protezione restano valide le precedenti misure di sicurezza, come l'aggiornamento costante dei sistemi, il backup regolare dei dati e la gestione e controllo delle password Scopri perchè

25. Hai nominato gli amministratori di sistema?

Correct! Wrong!

Tra i vari compiti dell'amministratore di sistema, sono inclusi anche quelli di classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali comuni e sensibili, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali. La nomina di un amministratore di sistema da parte di un Titolare dei trattamenti, aiuta a rispondere agli obblighi di rispettare i principi di accountability, privacy by design e privacy by default Scopri perchè

26. Conservi il file di log degli accessi ai server in maniera immodificabile per almeno 6 mesi?

Correct! Wrong!

I log file rappresentano uno strumento capace di “fotografare” le operazioni compiute sui sistemi informatici e quindi sui dati personali. Se correttamente “sfruttati”, consentono di garantire la sicurezza dell’infrastruttura informatica e la conseguente lecita gestione dei dati personali Scopri perchè

27. Hai implementato delle procedure di backup dei dati personali?

Correct! Wrong!

Un'infrastruttura IT altamente sicura è un buon punto di partenza per garantirsi la conformità al GDPR. Scopri perchè

TEST DI AUTOVALUTAZIONE GDPR

SEI COMPLIANCE ALLA GDPR?

In base alle risposte fornite, abbiamo elaborato il tuo profilo


- CLICCA QUI PER SCOPRIRE IL RISULTATO -

SEI COMPLIANCE ALLA GDPR?

In base alle risposte fornite, abbiamo elaborato il tuo profilo


- CLICCA QUI PER SCOPRIRE IL RISULTATO -

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

3 × tre =

Post comment