esempio di compliance privacy

Ogni azienda o professionista in regola con il GDPR deve avere la seguente documentazione

Informative privacy

  • Informativa privacy clienti-utenti, dipendenti e fornitori. Di norma avrò un’Informativa breve di poche righe, facili da comprendere, e un’Informativa estesa con tutti i dettagli.
  • Formule di consenso specifiche. Attenzione alle formule per i minori e per i dati particolari (sanitari, biometrici e altri).
  • Informativa Cookie. Devo tenere traccia di ogni operazione.
  • Documentazione delle procedure per l’esercizio dei diritti degli interessati, previsti nell’informativa.

Documenti interni, da esibire in caso di controllo della Guardia di Finanza

  • Attestazione della formazione svolta in materia di trattamento dei dati personali, da tutti i soggetti coinvolti nel trattamento dei dati. 
  • Documentazione delle procedure organizzative, di sicurezza e di data breach (violazione dati).
  • Valutazione di impatto sulla protezione dei dati, ove prevista.
  • Contratti di nomina RTD – Responsabile Trattamento Dati – e dei soggetti autorizzati al trattamento. Da valutare se il proprio commercialista, avvocato, tecnico del computer rientrano o meno in questo ruolo.
  • Contratto di nomina RPD (Responsabile Protezione Dati o DPO), ove necessario.
  • Registro dei trattamenti (link Garante privacy) del Titolare e del Responsabile.
  • Evidenze dei percorsi di formazione e delle verifiche relative alle procedure organizzative e di sicurezza adottate. Ad esempio dovrò controllare che la formazione ricevuta sia stata efficace, facendo simulazioni periodiche e test di controllo; in caso negativo dovrò ripetere la formazione.

Esempio 1: indice di un documento di Procedura di notifica di violazione dei dati personali

PREMESSE
SCOPO
COS’È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)
A CHI SONO RIVOLTE QUESTE PROCEDURE?
A QUALI TIPI DI DATI SI RIFERISCONO QUESTE PROCEDURE
GESTIONE COMUNICAZIONE DI DATA BREACHES
GESTIONE DELLA VIOLAZIONE DEI DATI PERSONALI
Step 1: Identificazione e indagine preliminare
Step 2: Contenimento, Recovery e risk assessment
Step 3: Eventuale notifica all’Autorità Garante competente
Step 4: Eventuale comunicazione agli interessati
Step 5: Documentazione della violazione

Esempio 2: indice di un documento di Misure di Sicurezza e Organizzative

SCOPO E CAMPO DI APPLICAZIONE
RIFERIMENTI NORMATIVI E DOCUMENTALI
STRUTTURA ORGANIZZATIVA A SUPPORTO DELLA PRIVACY
TRATTAMENTO DEI DATI PERSONALI
ELENCO DEI TRATTAMENTI: Natura dei dati trattati – Trattamenti dati affidati all’esterno -Modalità di trattamento
GESTIONE DEGLI INCARICATI – Distribuzione dei compiti e delle responsabilità
MISURE DI SICUREZZA – Individuazione degli attacchi – Policy di Back up – Misure di protezione – Gestione, custodia e aggiornamento delle password – Misure di prevenzione da programmi dannosi o da accessi abusivi – Misure a protezione dei dati sensibili dei clienti – Archivi cartacei
PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI

Per conoscere i rischi che si corrono in caso di mancato adeguamento alle normative sul trattamento dei dati personali rinviamo all’articolo Le insidie del GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *