il percorso di conformità al gdpr - gipo · se l’azienda presenta dei gap nei confronti del gdpr...
Post on 29-Sep-2020
4 Views
Preview:
TRANSCRIPT
1
Il percorso di
conformità al GDPRLa soluzione di Insight e Agic Technology
per i clienti Gipo
Sommario 1
2
3
4 Focus: Identificare e Valutare
5
Il GDPR in sintesi
Il percorso per la conformità al GDPR
Benefici e Vantaggi
L’analisi degli aspetti tecnologici: GDPR Consulting Services
7.1 Back-up and Restore Adeguato
7.2 Business Continuity and Disaster Recovery Carente
7.3 Change Management and Maintenance Carente
7.4 Entity Level Control Adeguato
7.5 Management Reporting/ Problem reporting and Tracking Critico
7.6 Sicurezza del trattamento Adeguato
7.7 Sicurezza fisica Adeguato
7.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) Adeguato
7.9 Sicurezza logica dei dati Migliorabile
7.10 Sicurezza logica dei programmi Critico
7.11 Sicurezza logica dei software di sistema Migliorabile
7.12 Sicurezza logica utenti Carente
7 Misure informatiche
Area Sub-Area Maturity
Carente
Rilasci operativirelazione finale
1. Il GDPR in sintesi2. Il percorso per la conformità al GDPR
4Il GDPR 2016/679 in sintesi
Il GDPR introduce il concetto del «data Protection by design», che impone alle aziende di adottare tutte le
garanzie necessarie per soddisfare i requisiti di legge e tutelare i diritti degli interessati, prima di avviare il
trattamento dei dati personali.
La protezione del dato personale è quindi un aspetto cruciale che ciascuna azienda deve affrontare sin dalla fase
di progettazione del servizio e che quindi ha un inevitabile impatto sia sui processi che sui sistemi informativi
dell’azienda.
ll General Data Protection Regulation (GDPR) è stato introdotto dal legislatore con il fine di armonizzare lanormativa sulla privacy all’interno dell’Unione Europea.
Il GDPR abroga, pertanto, la direttiva 95/46/CE in materia di protezione dei dati personali, concepita in un
periodo nel quale solo l’1% della popolazione europea utilizzava internet e non esistevano social media, tablet,
app, …
25 MAGGIO 2018Termine ultimo che le aziende hanno per adeguarsi al GDPR
5
Art. 34 – Comunicazione di una violazione dei dati personali all'interessato
Art. 13 - Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
Art. 17 - Diritto alla cancellazione («diritto all'oblio»)
Art. 30 - Registri delle attività di trattamento
Art. 33 – Notifica di una violazione dei dati personali all'autorità di controllo
Art. 32 – Sicurezza del trattamento
Art. 35 – Valutazione d'impatto sulla protezione dei dati
Art. 37 - Designazione del responsabile della protezione dei dati
Il GDPR 2016/679 in sintesi
6Il GDPR 2016/679 in sintesi
Accountability
Privacy by design (assicurare la protezione dei dati fin dalla
progettazione del servizio)
Sottoscrizione di contratti con i Responsabili del trattamento
Nomina dei sub-responsabili del trattamento
Predisposizione dei Registri dei trattamenti
Nomina del DPO
Contenuti delle informative
Fondamento della liceità del trattamento (consenso)
Trasferimento dei dati verso Paesi terzi
Conservazione dei dati
Formazione del personale sui temi «privacy»
Diritti dell’interessatoGarantire agli interessati il diritto di:
Accedere ai propri dati personali
Rettificare i propri dati personali
Ottenere la cancellazione dei propri dati personali
Limitare il trattamento dei propri dati personali
Portabilità dei propri dati personali
Opposizione all’utilizzo dei propri dati personali
Sicurezza dei dati personali
Classificazione dei dati personali e individuazione dei sistemi
utilizzati per il loro trattamento
Investimenti nei sistemi informativi
Definizione di adeguati requisiti di sicurezza informatica
Notifica delle violazioni
SanzioniSanzioni pecuniarie/amministrative calcolate anche in misura
percentuale sul fatturato globale annuo mondiale
(fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale
totale annuo del trasgressore)
Cosa fare?Il percorso di conformità al GDPR
E’ anzitutto necessario comprendere
se l’azienda presenta dei gap nei
confronti del GDPR e quindi
individuare le azioni da adottare per
recepire le disposizioni di legge.
L’analisi deve essere svolta
considerando sia gli aspetti
organizzativi e normativi, che quelli
concernenti le misure di sicurezza
informatica.
Avviare un «percorso» strutturato in
tre step e contestualizzato,
finalizzato a favorire il passaggio al
GDPR e al mantenimento nel tempo
dei requisiti richiesti dalla legge.
Il p
erc
ors
o p
er
la c
onfo
rmità a
l GD
PR
Identificare i gap e valutare le azioni da
intraprendere
Identificaree Valutare
Implementare le azioni necessarie per colmare
i gap in modo da potenziare i controlli
e prevenire eventi avversi e gestire violazioni
Proteggere
Assicurare che il sistema implementato sia
adeguato nel tempoMantenere
1
2
3
Identificare & Valutare
Verificare il grado di «maturità» al Regolamento Europeo 2016/679, attraverso
l’acquisizione di una conoscenza overall dei processi e delle misure informatiche a protezione
dei dati
Raffronto delle
evidenze delle
analisi con i requisiti
previsti dal
Regolamento
Europeo 2016/679
Individuazione di
eventuali gap e
definizione del Piano di
bonifica volto a recepire
le disposizioni di cui al
Regolamento Europeo
2016/679
Prioritizzazione
delle azioni
correttive per
l’adeguamento
normativo
Definizione della
scadenza per
l’attuazione delle
azioni correttive
1
OBIETTIVI
ATTIVITA’
1. dati e trattamenti al fine di individuare le finalità, i soggetti coinvolti e gli strumenti utilizzati per il trattamento
2. ruoli e responsabilità rilevanti nella gestione degli adempimenti privacy
3. documentazione e modulistica privacy (es.: registro dei trattamenti / ex DPS; procedure organizzative; lettere di nomina;
informative; moduli per il consenso; ecc.)
4. misure di sicurezza organizzative e informatiche
Ricognizione dei
seguenti
aspetti:
RICOGNIZIONE RAFFRONTO GAP ANALYSIS PRIORITA’ SCADENZA
Proteggere
Supportare l’azienda nella gestione degli adempimenti normativi previsti dal
Regolamento Europeo 2016/679
OBIETTIVI
ATTIVITA’
Valutazione di
impatto (Privacy
Impact Analysis) dei
trattamenti relativi
all’implementazione
di nuovi servizi
Supporto nei
rapporti con
il Garante per
la protezione
dei dati personali
Formalizzazione di
policy, procedure e
istruzioni operative
Supporto per l’analisi
di casistiche
specifiche relative
a tematiche privacy
(videosorveglianza;
geolocalizzazione;
trattamento di dati
biometrici; sito web)
2
• revisione o redazione ex novo di tutta la documentazione prevista dalla normativa privacy, (es.: informative e moduli di consenso ove
obbligatori; lettere di nomina; istruzioni agli incaricati; ecc.)
• supporto nella definizione delle misure di sicurezza informatiche al fine di assicurare il rispetto dei requisiti di sicurezza previsti dalla
normativa sul trattamento dei dati personali, (es.: profili di autorizzazione degli utenti; modalità di autenticazione ai sistemi ed alle
applicazioni; ecc.)
• predisposizione/aggiornamento del registro dei trattamenti
Implementazione delle
azioni di adeguamento
per
la piena conformità ai
requisiti stabiliti dalla
vigente normativa
privacy:
IMPLEMENTAZIONE SUPPORTO P.I.A. AUTORITA’ PROCEDURE
Mantenere
Erogare sessioni formative, in «aula» o attraverso piattaforma di e-learning, sulla normativa
privacy e sull’adozione delle misure di sicurezza. La formazione può essere personalizzata in base
a specifiche richieste ed esigenze.
Verificare il mantenimento nel tempo delle misure di protezione implementate, al fine di
evidenziare eventuali situazioni critiche o prassi errate nel trattamento dei dati personali.
OBIETTIVI
ATTIVITA’
Verifica dell’adeguatezza e dell’efficacia
delle procedure operative relative al trattamento
dei dati e delle misure di protezione del dato
3
Predisposizione del materiale didattico contenente i seguenti contenuti minimi:
• principi della normativa sulla privacy
• ruoli e responsabilità (es.: Titolare; Responsabile; Data Proteggereion Officer;
Amministratori di Sistema; …)
• informativa e moduli di consenso
• misure di sicurezza ed comportamentali
• adempimenti relativi a particolari trattamenti di dati personali (es.: videosorveglianza;
geolocalizzazione; dati biometrici)
FORMAZIONE AUDIT
7.1 Back-up and Restore Adeguato
7.2 Business Continuity and Disaster Recovery Carente
7.3 Change Management and Maintenance Carente
7.4 Entity Level Control Adeguato
7.5 Management Reporting/ Problem reporting and Tracking Critico
7.6 Sicurezza del trattamento Adeguato
7.7 Sicurezza fisica Adeguato
7.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) Adeguato
7.9 Sicurezza logica dei dati Migliorabile
7.10 Sicurezza logica dei programmi Critico
7.11 Sicurezza logica dei software di sistema Migliorabile
7.12 Sicurezza logica utenti Carente
7 Misure informatiche
Area Sub-Area Maturity
Carente
Rilasci operativirelazione finale
3. L’analisi degli aspetti tecnologici: GDPR Consulting Services
HYBRID CLOUD MODERN WORKPLACE LICENSING SERVICES
Plan
BuildManage
Discovery
Workshop
1
Onboarding
Services
2
Packaged
Services
3
Managed
Services
4
GipoNext e Gipo 8.0/9.0
✓Database su piattaforma SQL 2017 con abilitazione della funzionalità di SQL
Transparant Data Encryption
✓Connessione da e verso il back end tramite cifratura SSL
✓Connessione al server Gipo 8.0/9.0 tramite protocollo secure RDP
✓Connessione al client GipoNext tramite browser e protocollo HTTPS
✓High Availability e Disaster Recovery garantite dalla piattaforma cloud
Microsoft Azure rispettivamente tramite la funzionalità Availability Set e Geo
Replication
L’architettura di GIPO per la compliance alla GDPR
Il sistema informativo si trova a ruotare attorno al concetto di privacy
by design
Il tema della protezione del dato non si deve porre al momento della
gestione del dato, ma l’organizzazione deve farsene carico a partire
dalla fase di progettazione dei servizi
L’obiettivo nell’immediato è però di rendere adeguata
l’architettura esistente già in produzione
GDPR… dal punto di vista tecnologico
• Discover - identificare quali dati
personali abbiamo e dove risiedono
• Manage - governare come i dati
personali vengono acceduti ed usati
• Protect - implementare controlli di
sicurezza per prevenire, identificare
e risolvere eventuali fenomeni di
data breaches e vulnerabilità dei
Sistemi
• Report - manutenere l’adeguata
documentazione e gestire la
reportistica di sicurezza
Da dove cominciare
1. Gestione della raccolta, classificazione e modalità di elaborazione del dato
2. Protezione del dato
3. Gestione dei diritti del cittadino
4. Sicurezza perimetrale, interna ed in mobilità
5. Verifica della conformità per servizi esternalizzati in cloud
6. Gestione degli incidenti
Le aree di analisi
• Gestione delle identità e dei diritti di accesso al dato
• Reingegnerizzazione e modernizzazione delle applicazioni preposte alla
raccolta dei dati personali
• Reingegnerizzazione dei sistemi di memorizzazione dei dati (db e file
server)
• Metodologie di tracciamento, catalogazione e classificazione dei dati gestiti
Gestione della raccolta, classificazione e modalità di elaborazione del dato
Il problema…
Single sign-on
Esperienza Self-service
Common identity
Conditional access e MFA
Applicazioni SaaS
Azure Active Directory
Un utente, una sola identità… ovunque
Active Directory
Come funziona Azure Active Directory
• Integrazione dell’identitymanagement Azure per applicazionion premise
• Single Sign On
• Governance centralizzata degli account
• Centralizzazione dei log di sicurezza
• Possibilità di utilizzare l’autenticazione a multi fattori (pin sms su cell)
• Esposizione del layer di Azure per accesso dall’esterno
Azure Active DirectoryC
orp
ora
te
Netw
ork
DM
Zin
tern
a
Azure Application Proxy
CLASSIFY
PROTECTSHARE
MONITOR &RESPOND
Data
LABEL
• Classificazione e protezione del dato dal momento della suacreazione o modifica
• La protezione del dato è inclusanel dato stesso
• Condivisione con partner e o fornitori governata e presidiata
• Sistema di reportistica per ilcontrollo e la visibilità dei daticondivisi esternamente
• E che non guasta per noi specialist IT: semplicità di installazione edutilizzo
Azure Information Protection
Classificazione del dato: un esempio con word
SQL Data Classification
The classification engine
scans your database and
identifies columns
containing potentially
sensitive data.
It then provides you an
easy way to review and
apply the appropriate
classification
recommendations, as well
as to manually classify
columns.
SQL Data Classification
Tracciamento dei dati: SQL Data Classification
Tracciamento dei dati: Azure AD Identity Protection
• Protezione da perdita di dati
• Criptazione del dato
• Criptazione dei flussi informatici
• Pseudonomizzazione del dato
Gestione e protezione del dato
Creazione di policy e governance
granulare per utenti, gruppi e
workload
Le funzioni di DLP possono
utilizzare:
• keyword matches
• dictionary matches
• Valutazioni di regular expression
• Funzioni interne (es. credit card numbers)
Microsoft Data Loss Prevention
Abilitazione della cifratura
dell’intero hard disk delle
postazioni di lavoro con
BitLocker
Cifratura del dato: notebook
La configurazione di Encryption “at rest” è composta da due differenti componenti:
• Encryption a livello di disco con BitLocker
• Encryption per-file dei contenuti
BitLocker è una tecnologia integrata in
OneDrive for Business e SharePoint Online
Criptazione del dato: «at rest»
Oltre alla cifratura del dato
archiviato, anche la
connessione tra utente e
datacenter è cifrata…
… così come la comunicazione
tra vari datacenter, per la
ridondanza e resilienza del dato
Criptazione del dato: in transito
Dynamic Data Masking di SQL Azure e SQL 2016/2017
Le funzionalità di Dynamic data masking aiutano a prevenire accessi non
autorizzati a dati sensibili, permettendo ai clineti di definire quale livello e
quantità di dati sensibili rivelare, con impatto minimo sull’application
layer
Pseudonomizzazione del dato
Transparent Data Encryption di SQL Azure e SQL 2016/2017
TDE consente di eseguire la crittografia e la decrittografia I/O in tempo
reale dei file di dati e di log.
Per la crittografia viene usata una chiave di crittografia del database,
archiviata nel record di avvio del database affinché sia disponibile
durante le operazioni di recupero.
Pseudonomizzazione del dato: SQL Always Encrypted
• Diritto di accesso
• Diritto alla rettifica
• Diritto all’oblio
• Diritto alla restrizione dell’utilizzo
Gestione dei diritti del cittadino
Trust Center
Certificazioni internazionali
Il dato è del cliente non
del cloud provider;
Microsoft è il mero data
processor
Audit semestrali condotti
da terze parti e
consultabili in formato di
executive reports
Privacy controls: solo chi
viene configurato può
accedere alle sue
informazioni
• Sicurezza perimetrale
• Sicurezza interna
• Sicurezza endpoint e dei devices mobile
Sicurezza
RMS aumenta la sicurezza su
file e messaggi e-mail da
qualsiasi device:
• encryption
• identity
• authorization policies
La protezione segue il dato,
anche se copiato al di fuori
dell’Azienda
Azure RMS: Sicurezza applicata ai sistemi di memorizzazione
Personal apps
Managed apps
Prevenire la perdita di dati dai dispositivi mobili, inibendo il processo di
copia/incolla tra applicazioni ed ulteriori funzionalità del device (printscreen
schermo, ecc..)
User
Intune: Sicurezza per i pc, smartphone e tablet
• Quali outsourcer, tra quelli che sto utilizzando, sono compliant
con la GDPR?
• Impedire l’utilizzo di tutti gli altri servizi non aziendali:
Personal file storage (Google drive, DropBox, ecc..)
Caselle email personali
La verifica di conformità per i servizi esternalizzati
Come faccio a scoprire se nella mia
rete c’è qualcuno che utilizza cloud
service personali?
Microsoft Cloud App Security
• Ci si deve rendere conto di essere «sotto attacco»
• Individuare quanti e quali sistemi sono stati violati
• Gestire la risposta organizzativa
Gestione degli incident
Informazioni di dettaglio
per investigare eventi e situazioni
problematiche dal punto di vista
della sicurezza….
Creazione di alert dedicati:
Advanced Security Management
Service Health Center
7.1 Back-up and Restore Adeguato
7.2 Business Continuity and Disaster Recovery Carente
7.3 Change Management and Maintenance Carente
7.4 Entity Level Control Adeguato
7.5 Management Reporting/ Problem reporting and Tracking Critico
7.6 Sicurezza del trattamento Adeguato
7.7 Sicurezza fisica Adeguato
7.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) Adeguato
7.9 Sicurezza logica dei dati Migliorabile
7.10 Sicurezza logica dei programmi Critico
7.11 Sicurezza logica dei software di sistema Migliorabile
7.12 Sicurezza logica utenti Carente
7 Misure informatiche
Area Sub-Area Maturity
Carente
Rilasci operativirelazione finale
4. Focus: Identificare e Valutare
E’ necessario che l’Azienda effettui una valutazione del proprio stato dell’arte relativamente
all’implementazione degli adempimenti previsti dal GDPR, identificando le eventuali aree di scopertura e le
azioni di adeguamento per la piena conformità ai requisiti stabiliti dalla nuova normativa in materia di
privacy.
Insight e Gipo offrono un servizio volto a supportare i soggetti obbligati nell’individuare le azioni
necessarie per recepire le disposizioni del GDPR.
La nostra proposta: Identificare e Valutare
Analisipreliminare
Individuazione di eventuali gap al GDPR
Stato dell’arte in relazione al GDPR
Analisi preliminare del contesto di riferimento
Elaborazione del Piano d'intervento
Individuazione dell’indice di «maturità» al GDPR
Statodell’arte
Gap Analysis
Piano d'intervento
Calcolo della“maturità”
La nostra proposta: Identificare e ValutareAnalisi preliminare
Tale fase prevede l’acquisizione di informazioni preliminari utili per indirizzare le analisi di cui alle
successive fasi.
Ad esempio, la rilevazione dei seguenti aspetti:
il settore di mercato : Sanitario
i sistemi informativi utilizzati per il trattamento dei dati personali: Gipo
la presenza di dati trasferiti in Paesi esteri : Gipo Cloud gestisce dati in paesi UE (Olanda , Irlanda)
il numero dei dipendenti dell'azienda
se l’azienda tratta dati su larga scala: Normalmente si
se l’azienda tratta particolari categorie di dati personali: Dati genetici, dati biometrici intesi a identificare in modo
univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona
La nostra proposta: Identificare e ValutareAnalisi preliminare
Tale fase prevede l’acquisizione di informazioni preliminari utili per indirizzare le analisi di cui alle
successive fasi.
Ad esempio, la rilevazione dei seguenti aspetti:
il settore di mercato : Sanitario
i sistemi informativi utilizzati per il trattamento dei dati personali: Gipo
la presenza di dati trasferiti in Paesi esteri : Gipo Cloud gestisce dati in paesi UE (Olanda , Irlanda)
il numero dei dipendenti dell'azienda
se l’azienda tratta dati su larga scala: Normalmente si
se l’azienda tratta particolari categorie di dati personali: Dati genetici, dati biometrici intesi a identificare in modo
univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona
La nostra proposta: Identificare e ValutareAnalisi preliminare
Individuazione di provvedimenti, linee guida, ecc. rilevanti per il settore sanitario, da includere nel perimetro delle
analisi. A mero titolo esemplificativo:
Linee Guida in materia di Dossier Sanitario
- informativa,
- consenso,
- sistemi informativi,
- diritti dell’interessato,
- accesso al dossier,
- sicurezza dei dati,
Autorizzazione n. 8/2016 - Autorizzazione generale al trattamento dei dati genetici
Autorizzazione n. 9/2016 - Autorizzazione generale al trattamento dei dati personali effettuato per scopi di
ricerca scientifica
GANTT governance delprogetto
calendario delleinterviste
La nostra proposta: Identificare e ValutareAnalisi preliminare
Costruzione di un valutazione personalizzata per
l’azienda!
Questo consentirà di individuare raccomandazioni
specifiche per l’azienda.
La nostra proposta: Identificare e ValutareStato dell'arte
Tale fase prevede la rilevazione della presenza di attività volte ad assolvere gli obblighi del GDPR.
La rilevazione dello Stato dell'arte sarà effettuata tramite interviste con i key officer e l’analisi
della documentazione rilevante, tenendo conto della tipologia di business dell’azienda e
consentirà di associare a ciascun obbligo normativo le attività poste in essere per assolverlo.
La rilevazione sarà effettuata con il supporto di una check list, composta da circa 130 quesiti
volti a comprendere la presenza di attività utili ad adempiere al GDPR.
La check list è stata costruita attraverso l’analisi puntuale dei vari adempimenti contenuti nel GDPR.
La nostra proposta: Identificare e ValutareStato dell'arte
I quesiti della check list sono organizzati
per:
• Aree
• Sub-Aree
All’interno della check list sono state
complessivamente individuate:
• 11 Aree
• 39 Sub-Aree
Ciascuna domanda della check list è
pesata in relazione:
• all’Area
• alla Sub-Area
1 Amministratori di Sistema 1.1 Amministratori di Sistema
2 Audit 2.1 Audit
3.1 Erogazione della formazione
3.2 Istruzioni agli incaricati
3.3 Istruzioni ai responsabili
3.4 Piano di formazione
4.1 Diritto alla limitazione del trattamento
4.2 Diritto all'oblio
4.3 Diritto di accesso
4.4 Diritto di opposizione
4.5 Diritto di portabilità dei dati
4.6 Diritto di rettifica
4.7 Trasparenza nei confronti dell'interessato
5.1 Acquisizione consenso
5.2 Informativa agli interessati
6.1 Back-up and Restore
6.2 Business Continuity and Disaster Recovery
6.3 Change Management and Maintenance
6.4 Entity Level Control
6.5 Management Reporting/ Problem reporting and Tracking
6.6 Sicurezza del trattamento
6.7 Sicurezza fisica
6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni)
6.9 Sicurezza logica dei dati
6.10 Sicurezza logica dei programmi
6.11 Sicurezza logica dei software di sistema
6.12 Sicurezza logica utenti
7.1 Classificazione dei dati personali
7.2 Conferimento nomine
7.3 Contratti con i fornitori/responsabili del trattamento
7.4 P.I.A.
7.5 Privacy by design
7.6 Procedura aziendale
7.7 Ricognizione dei dati personali trattati
7.8 Trasferimento dei dati personali
8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali
9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento
10 Risk Management 10.1 Risk Management
11 Trattamenti Specifici 11.1 Videosorveglianza
Area Sub-Area
5 Gestione informative e consensi
6 Misure informatiche
Gestione delle richieste provenienti dagli interessati
3 Formazione privacy
4
7 Misure organizzative
1 Amministratori di Sistema 1.1 Amministratori di Sistema
2 Audit 2.1 Audit
3.1 Erogazione della formazione
3.2 Istruzioni agli incaricati
3.3 Istruzioni ai responsabili
3.4 Piano di formazione
4.1 Diritto alla limitazione del trattamento
4.2 Diritto all'oblio
4.3 Diritto di accesso
4.4 Diritto di opposizione
4.5 Diritto di portabilità dei dati
4.6 Diritto di rettifica
4.7 Trasparenza nei confronti dell'interessato
5.1 Acquisizione consenso
5.2 Informativa agli interessati
6.1 Back-up and Restore
6.2 Business Continuity and Disaster Recovery
6.3 Change Management and Maintenance
6.4 Entity Level Control
6.5 Management Reporting/ Problem reporting and Tracking
6.6 Sicurezza del trattamento
6.7 Sicurezza fisica
6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni)
6.9 Sicurezza logica dei dati
6.10 Sicurezza logica dei programmi
6.11 Sicurezza logica dei software di sistema
6.12 Sicurezza logica utenti
7.1 Classificazione dei dati personali
7.2 Conferimento nomine
7.3 Contratti con i fornitori/responsabili del trattamento
7.4 P.I.A.
7.5 Privacy by design
7.6 Procedura aziendale
7.7 Ricognizione dei dati personali trattati
7.8 Trasferimento dei dati personali
8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali
9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento
10 Risk Management 10.1 Risk Management
11 Trattamenti Specifici 11.1 Videosorveglianza
Area Sub-Area
5 Gestione informative e consensi
6 Misure informatiche
Gestione delle richieste provenienti dagli interessati
3 Formazione privacy
4
7 Misure organizzative
La nostra proposta: Identificare e ValutareStato dell'arte
Area:aggregazione di quesiti relativi a obblighi di legge riconducibili ad una stessa tematica (es. gestione
delle informative e dei consensi, notifica delle violazioni di dati personali, ecc.).
Sub-Area:sottoinsieme dell’Area di riferimento, che fornisce un maggiore dettaglio sugli obblighi di legge cui
si riferiscono i quesiti (es. all’interno dell’Area «Gestione delle richieste provenienti dagli
interessati», sono individuate diverse Sub-Aree: «diritto di accesso», «diritto all’oblio», ecc.).
Tutti quesiti sono stati pesati in base alla sanzione applicabile.
Ciascun quesito ha pertanto un peso sia rispetto all’Area che alla Sub-Area di appartenenza.
La nostra proposta: Identificare e ValutareGap Analysis
Risposta Descrizione Punteggio
SiL’azienda svolge l’attività oggetto della
domanda1
Parzialmente
L’azienda svolge solo in parte l’attività
oggetto della domanda, o che ci sono
margini di miglioramento
0,5
NoL’azienda non svolge l’attività oggetto
della domanda0
N.A.
Il quesito non è applicabile per l’azienda
e pertanto non sarà conteggiato nella
valutazione della «maturità» al GDPR.
N.A.
A ciascuna domanda della check list
sarà associata una risposta
A ciascuna risposta è associato
un punteggio
Per ogni domanda sarà indicato
il nominativo dell’owner della risposta.
Per tutte le risposte «Parzialmente» e
«No», sarà fornita una descrizione sintetica
del «gap» rilevato
La nostra proposta: Identificare e ValutareElaborazione dell’Piano d'intervento
Sulla base dei gap rilevati, a seguito
della comparazione tra gli
adempimenti richiesti dal GDPR e la
relativa implementazione da parte
dell’Azienda («Stato dell'arte»), verrà
predisposto un Piano di bonifica con
indicazione dei possibili interventi
migliorativi / delle raccomandazioni.
La nostra proposta: Identificare e ValutareElaborazione dell’Piano d'intervento
Il Piano di bonifica sarà condiviso
con gli Owner, con il fine di:
• assegnare i tasks
• definire i termini temporali per
l’attuazione degli interventi.
Successivamente alla condivisione
sarà elaborato l’Piano d'intervento.
LIVELLO DI maturità SODDISFACENTE
(Range 100% - 87,5%)
LIVELLO DI maturità NON SODDISFACENTE
(Range 87,4% - 0%)
Adeguato Migliorabile Carente Critico
Range: 100% Range: 99,9% - 87,5% Range: 87,4% - 50,1% Range:50% - 0%
Tutte le singole attività sono svolte.
Il livello di aderenza al GDPR è ritenuto
soddisfacente nel suo complesso.
Sono presenti alcune attività che
presentano opportunità di
miglioramento.
Il livello di aderenza al GDPR è
comunque ritenuto soddisfacente nel
suo complesso.
Un consistente numero di attività presentano
la necessità di interventi sostanziali, ovvero
aspetti migliorativi volti a raggiungere la
conformità al GDPR. Il livello di aderenza al
GDPR è ritenuto non soddisfacente nel suo
complesso.
La maggior parte delle attività presentano la
necessità di interventi sostanziali, ovvero
presentano aspetti migliorativi volti a
raggiungere la conformità al GDPR. Il livello di
aderenza al GDPR è ritenuto non
soddisfacente nel suo complesso.
La nostra proposta: Identificare e ValutareCalcolo della «maturità»
In base alle risposte fornite alle singole domande, sarà effettuata
un’aggregazione per ciascuna Area e Sub-Area di riferimento, in modo da
calcolare il grado della «maturità».
Rilasci operativi
Check list
relazione
finale
Check list compilata per la valutazione del livello di
rispondenza al GDPR e l’individuazione puntuale delle
attività di miglioramento.
Documento riepilogativo dei risultati, contenente
informazioni per il Management, relative al livello di
conformità al GDPR, eventuali azioni
migliorative/raccomandazioni, con indicazione delle
ownership e delle priorità. Il report finale comprende
il Piano di bonifica proposto.
Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della
risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date
Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse
tipologie di dati personali trattati?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Si - - - -
Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più
responsabili del trattamento?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 No
L'azienda ha nominato nr. 10 responsabili del
trattamento, corrispondenti ai Direttori di
Funzione.
L'azienda non ha tuttavia nominato i responsabili
esterni del trattamento, ovvero i fornitori che
effettuano trattamenti di dati personali per conto
del titolare.
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti
esterni cui l'azienda affida trattamenti di dati
personali per proiprio conto;
- definire formalmente con i soggetti di cui al
precedente punto la durata del trattamento, la
natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi
e i diritti del titolare del trattamento.
M. Rossi/DPO 31/12/2017
Misure organizzative Conferimento nomine art.28 Q.3
L'azienda ha formalmente individuato persone
autorizzate al trattamento dei dati, oltre al
Responsabile?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Parzialmente
L'azienda ha individuato, all'interno delle varie
Funzioni aziendali, classi di incaricati (designati
tramite apposita lettera).
L'azienda non ha tuttavia implementato un
processo di aggiornamento delle designazioni
degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati
designati e di effettuarne un'analisi di coerenza
tra il ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di
designazione (ove necessario).
M. Rossi/DPO 31/12/2017
Domande Risposta Remediation Plan
Rilasci operativiCheck List
Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della
risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date
Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse
tipologie di dati personali trattati?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Si - - - -
Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più
responsabili del trattamento?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 No
L'azienda ha nominato nr. 10 responsabili del
trattamento, corrispondenti ai Direttori di
Funzione.
L'azienda non ha tuttavia nominato i responsabili
esterni del trattamento, ovvero i fornitori che
effettuano trattamenti di dati personali per conto
del titolare.
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti
esterni cui l'azienda affida trattamenti di dati
personali per proiprio conto;
- definire formalmente con i soggetti di cui al
precedente punto la durata del trattamento, la
natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi
e i diritti del titolare del trattamento.
M. Rossi/DPO 31/12/2017
Misure organizzative Conferimento nomine art.28 Q.3
L'azienda ha formalmente individuato persone
autorizzate al trattamento dei dati, oltre al
Responsabile?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Parzialmente
L'azienda ha individuato, all'interno delle varie
Funzioni aziendali, classi di incaricati (designati
tramite apposita lettera).
L'azienda non ha tuttavia implementato un
processo di aggiornamento delle designazioni
degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati
designati e di effettuarne un'analisi di coerenza
tra il ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di
designazione (ove necessario).
M. Rossi/DPO 31/12/2017
Domande Risposta Remediation Plan
Articolo del GDPR cui si
riferisce il quesito
Rilasci operativiCheck List
Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della
risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date
Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse
tipologie di dati personali trattati?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Si - - - -
Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più
responsabili del trattamento?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 No
L'azienda ha nominato nr. 10 responsabili del
trattamento, corrispondenti ai Direttori di
Funzione.
L'azienda non ha tuttavia nominato i responsabili
esterni del trattamento, ovvero i fornitori che
effettuano trattamenti di dati personali per conto
del titolare.
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti
esterni cui l'azienda affida trattamenti di dati
personali per proiprio conto;
- definire formalmente con i soggetti di cui al
precedente punto la durata del trattamento, la
natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi
e i diritti del titolare del trattamento.
M. Rossi/DPO 31/12/2017
Misure organizzative Conferimento nomine art.28 Q.3
L'azienda ha formalmente individuato persone
autorizzate al trattamento dei dati, oltre al
Responsabile?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Parzialmente
L'azienda ha individuato, all'interno delle varie
Funzioni aziendali, classi di incaricati (designati
tramite apposita lettera).
L'azienda non ha tuttavia implementato un
processo di aggiornamento delle designazioni
degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati
designati e di effettuarne un'analisi di coerenza
tra il ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di
designazione (ove necessario).
M. Rossi/DPO 31/12/2017
Domande Risposta Remediation Plan
Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della
risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date
Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse
tipologie di dati personali trattati?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Si - - - -
Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più
responsabili del trattamento?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 No
L'azienda ha nominato nr. 10 responsabili del
trattamento, corrispondenti ai Direttori di
Funzione.
L'azienda non ha tuttavia nominato i responsabili
esterni del trattamento, ovvero i fornitori che
effettuano trattamenti di dati personali per conto
del titolare.
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti
esterni cui l'azienda affida trattamenti di dati
personali per proiprio conto;
- definire formalmente con i soggetti di cui al
precedente punto la durata del trattamento, la
natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi
e i diritti del titolare del trattamento.
M. Rossi/DPO 31/12/2017
Misure organizzative Conferimento nomine art.28 Q.3
L'azienda ha formalmente individuato persone
autorizzate al trattamento dei dati, oltre al
Responsabile?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Parzialmente
L'azienda ha individuato, all'interno delle varie
Funzioni aziendali, classi di incaricati (designati
tramite apposita lettera).
L'azienda non ha tuttavia implementato un
processo di aggiornamento delle designazioni
degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati
designati e di effettuarne un'analisi di coerenza
tra il ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di
designazione (ove necessario).
M. Rossi/DPO 31/12/2017
Domande Risposta Remediation Plan
Risposta al quesito
Descrizione del gap rilevato in relazione al
quesito/articolo del GDPR.
Rilasci operativiCheck List
Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della
risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date
Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse
tipologie di dati personali trattati?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Si - - - -
Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più
responsabili del trattamento?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 No
L'azienda ha nominato nr. 10 responsabili del
trattamento, corrispondenti ai Direttori di
Funzione.
L'azienda non ha tuttavia nominato i responsabili
esterni del trattamento, ovvero i fornitori che
effettuano trattamenti di dati personali per conto
del titolare.
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti
esterni cui l'azienda affida trattamenti di dati
personali per proiprio conto;
- definire formalmente con i soggetti di cui al
precedente punto la durata del trattamento, la
natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi
e i diritti del titolare del trattamento.
M. Rossi/DPO 31/12/2017
Misure organizzative Conferimento nomine art.28 Q.3
L'azienda ha formalmente individuato persone
autorizzate al trattamento dei dati, oltre al
Responsabile?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Parzialmente
L'azienda ha individuato, all'interno delle varie
Funzioni aziendali, classi di incaricati (designati
tramite apposita lettera).
L'azienda non ha tuttavia implementato un
processo di aggiornamento delle designazioni
degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati
designati e di effettuarne un'analisi di coerenza
tra il ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di
designazione (ove necessario).
M. Rossi/DPO 31/12/2017
Domande Risposta Remediation Plan
Area di riferimento Sub-Area di riferimento Rif. al GDPR Id. Quesito A - Sanzione potenzialmente applicabileOwner della
risposta/RuoloData della risposta Risposta Descrizione del gap Raccomandazioni/Suggerimenti Owner della raccomandazione Due Date
Misure organizzative Classificazione dei dati personali art.30(2) Q.1L'azienda è in grado di classificare le diverse
tipologie di dati personali trattati?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Si - - - -
Misure organizzative Conferimento nomine art.28 Q.2L'Azienda ha designato in forma scritta uno o più
responsabili del trattamento?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 No
L'azienda ha nominato nr. 10 responsabili del
trattamento, corrispondenti ai Direttori di
Funzione.
L'azienda non ha tuttavia nominato i responsabili
esterni del trattamento, ovvero i fornitori che
effettuano trattamenti di dati personali per conto
del titolare.
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti
esterni cui l'azienda affida trattamenti di dati
personali per proiprio conto;
- definire formalmente con i soggetti di cui al
precedente punto la durata del trattamento, la
natura e la finalità del trattamento, il tipo di dati
personali e le categorie di interessati, gli obblighi
e i diritti del titolare del trattamento.
M. Rossi/DPO 31/12/2017
Misure organizzative Conferimento nomine art.28 Q.3
L'azienda ha formalmente individuato persone
autorizzate al trattamento dei dati, oltre al
Responsabile?
Sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
M. Rossi/DPO 05/09/2017 Parzialmente
L'azienda ha individuato, all'interno delle varie
Funzioni aziendali, classi di incaricati (designati
tramite apposita lettera).
L'azienda non ha tuttavia implementato un
processo di aggiornamento delle designazioni
degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati
designati e di effettuarne un'analisi di coerenza
tra il ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di
designazione (ove necessario).
M. Rossi/DPO 31/12/2017
Domande Risposta Remediation Plan
Raccomandazione/Suggerimento volto a
colmare il gap.
A ciascuna raccomandazione sarà attribuita
una categoria, in base alla tipologia di
intervento richiesto («organizzativa/di
processo», «tecnica», «informatica») Responsabile della
definizione e
dell’implementazione
dell’azione da attuare
Termine per
l’attuazione della
raccomandazione
Rilasci operativirelazione finale
Obiettivi dell’valutazione, principali risultati e considerazioni generali
Informazioni relative al business dell’Azienda, alla tipologia di dati trattati, alla struttura organizzativa
Descrizione dei gap rilevati e del relativo Piano d'intervento
Livello di «maturità» complessivamente raggiunto dall’azienda e dettaglio per ciascuna area / sub-area
Q.2
Q.3
Owner: Due Date:
Q.2
Si suggerisce di:
- effettuare una ricognizione di tutti i soggetti esterni cui l'azienda affida trattamenti di dati personali per
proiprio conto;
- definire formalmente con i soggetti di cui al precedente punto la durata del trattamento, la natura e la
finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare
del trattamento.
M. Rossi/DPO 31/12/2017
Q.3
Si suggerisce di:
- effettuare una ricognizione di tutti gli incaricati designati e di effettuarne un'analisi di coerenza tra il
ruolo ricoperto e la lettera di designazione;
- aggiornare l'elenco degli incaricati e le lettere di designazione (ove necessario).
M. Rossi/DPO 31/12/2017
L'azienda ha nominato nr. 10 responsabili del trattamento, corrispondenti ai Direttori di Funzione.
L'azienda non ha tuttavia nominato i responsabili esterni del trattamento, ovvero i fornitori che effettuano trattamenti di dati personali per
conto del titolare.
L'azienda ha individuato, all'interno delle varie Funzioni aziendali, classi di incaricati (designati tramite apposita lettera).
L'azienda non ha tuttavia implementato un processo di aggiornamento delle designazioni degli incaricati, nel caso di nuovi ingressi e di
spostamenti di soggetti in altre Funzioni.
Osservazioni:
Raccomandazioni:
Area: Misure Organizzatve
Sub-Area: Conferimento nomine
70%
Maturity
Carente
Rilasci operativirelazione finale
Scheda di dettaglio
per ciascuna Area /
Sub-area, contenete le
seguenti informazioni:
livello di «maturità»
raggiunto
gap rilevati
Raccomandazioni,
owner e scadenze
Rilasci operativirelazione finale
7.1 Back-up and Restore Adeguato
7.2 Business Continuity and Disaster Recovery Carente
7.3 Change Management and Maintenance Carente
7.4 Entity Level Control Adeguato
7.5 Management Reporting/ Problem reporting and Tracking Critico
7.6 Sicurezza del trattamento Adeguato
7.7 Sicurezza fisica Adeguato
7.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) Adeguato
7.9 Sicurezza logica dei dati Migliorabile
7.10 Sicurezza logica dei programmi Critico
7.11 Sicurezza logica dei software di sistema Migliorabile
7.12 Sicurezza logica utenti Carente
7 Misure informatiche
Area Sub-Area Maturity
Carente
Valutazione di
ciascuna Sub-Area
Valutazione
complessiva
dell’Area
Rilasci operativirelazione finale
% di Maturity Grado di Maturity % di Maturity Grado di Maturity
1 Amministratori di Sistema 1.1 Amministratori di Sistema 83% Carente 83,3% Carente
2 Audit 2.1 Audit N.A. N.A. N.A. N.A.
3.1 Erogazione della formazione 100% Adeguato
3.2 Istruzioni agli incaricati 100% Adeguato
3.3 Istruzioni ai responsabili 50% Critico
3.4 Piano di formazione 50% Critico
4.1 Diritto alla limitazione del trattamento N.A. N.A.
4.2 Diritto all'oblio 50% Critico
4.3 Diritto di accesso 100% Adeguato
4.4 Diritto di opposizione 0% Critico
4.5 Diritto di portabilità dei dati 75% Carente
4.6 Diritto di rettifica N.A. N.A.
4.7 Trasparenza nei confronti dell'interessato 50% Critico
5.1 Acquisizione consenso 50% Critico
5.2 Informativa agli interessati 25% Critico
6.1 Back-up and Restore 0% Critico
6.2 Business Continuity and Disaster Recovery 0% Critico
6.3 Change Management and Maintenance 59% Carente
6.4 Entity Level Control 27% Critico
6.5 Management Reporting/ Problem reporting and Tracking 0% Critico
6.6 Sicurezza del trattamento 67% Carente
6.7 Sicurezza fisica 70% Carente
6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) 25% Critico
6.9 Sicurezza logica dei dati 67% Carente
6.10 Sicurezza logica dei programmi 0% Critico
6.11 Sicurezza logica dei software di sistema 50% Critico
6.12 Sicurezza logica utenti 50% Critico
7.1 Classificazione dei dati personali 100% Adeguato
7.2 Conferimento nomine 36% Critico
7.3 Contratti con i fornitori/responsabili del trattamento 100% Adeguato
7.4 P.I.A. 0% Critico
7.5 Privacy by design 75% Carente
7.6 Procedura aziendale 100% Adeguato
7.7 Ricognizione dei dati personali trattati 33% Critico
7.8 Trasferimento dei dati personali 50% Critico
8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali 60% Carente 60,0% Carente
9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento 0% Critico 0,0% Critico
10 Risk Management 10.1 Risk Management 100% Adeguato 100,0% Adeguato
11 Trattamenti Specifici 11.1 Videosorveglianza 63% Carente 62,5% Carente
Area Sub-Area
5 Gestione informative e consensi
6 Misure informatiche
Gestione delle richieste provenienti dagli interessati
Critico
Critico
3 Formazione privacy
4
7 Misure organizzative
75,0%
42,9%
36,2%
50,0%
53,8%
Sub-Area Area
Carente
Carente
Critico
% di Maturity Grado di Maturity % di Maturity Grado di Maturity
1 Amministratori di Sistema 1.1 Amministratori di Sistema 83% Carente 83,3% Carente
2 Audit 2.1 Audit N.A. N.A. N.A. N.A.
3.1 Erogazione della formazione 100% Adeguato
3.2 Istruzioni agli incaricati 100% Adeguato
3.3 Istruzioni ai responsabili 50% Critico
3.4 Piano di formazione 50% Critico
4.1 Diritto alla limitazione del trattamento N.A. N.A.
4.2 Diritto all'oblio 50% Critico
4.3 Diritto di accesso 100% Adeguato
4.4 Diritto di opposizione 0% Critico
4.5 Diritto di portabilità dei dati 75% Carente
4.6 Diritto di rettifica N.A. N.A.
4.7 Trasparenza nei confronti dell'interessato 50% Critico
5.1 Acquisizione consenso 50% Critico
5.2 Informativa agli interessati 25% Critico
6.1 Back-up and Restore 0% Critico
6.2 Business Continuity and Disaster Recovery 0% Critico
6.3 Change Management and Maintenance 59% Carente
6.4 Entity Level Control 27% Critico
6.5 Management Reporting/ Problem reporting and Tracking 0% Critico
6.6 Sicurezza del trattamento 67% Carente
6.7 Sicurezza fisica 70% Carente
6.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) 25% Critico
6.9 Sicurezza logica dei dati 67% Carente
6.10 Sicurezza logica dei programmi 0% Critico
6.11 Sicurezza logica dei software di sistema 50% Critico
6.12 Sicurezza logica utenti 50% Critico
7.1 Classificazione dei dati personali 100% Adeguato
7.2 Conferimento nomine 36% Critico
7.3 Contratti con i fornitori/responsabili del trattamento 100% Adeguato
7.4 P.I.A. 0% Critico
7.5 Privacy by design 75% Carente
7.6 Procedura aziendale 100% Adeguato
7.7 Ricognizione dei dati personali trattati 33% Critico
7.8 Trasferimento dei dati personali 50% Critico
8 Notifica delle violazioni di dati personali 8.1 Notifica delle violazioni di dati personali 60% Carente 60,0% Carente
9 Predisposizione e aggiornamento del Registro delle attività di trattamento 9.1 Predisposizione e aggiornamento del Registro delle attività di trattamento 0% Critico 0,0% Critico
10 Risk Management 10.1 Risk Management 100% Adeguato 100,0% Adeguato
11 Trattamenti Specifici 11.1 Videosorveglianza 63% Carente 62,5% Carente
Area Sub-Area
5 Gestione informative e consensi
6 Misure informatiche
Gestione delle richieste provenienti dagli interessati
Critico
Critico
3 Formazione privacy
4
7 Misure organizzative
75,0%
42,9%
36,2%
50,0%
53,8%
Sub-Area Area
Carente
Carente
Critico
7.1 Back-up and Restore Adeguato
7.2 Business Continuity and Disaster Recovery Carente
7.3 Change Management and Maintenance Carente
7.4 Entity Level Control Adeguato
7.5 Management Reporting/ Problem reporting and Tracking Critico
7.6 Sicurezza del trattamento Adeguato
7.7 Sicurezza fisica Adeguato
7.8 Sicurezza logica - Aspetti generali (Domain Controller, File Server, Posta elettronica, applicazioni) Adeguato
7.9 Sicurezza logica dei dati Migliorabile
7.10 Sicurezza logica dei programmi Critico
7.11 Sicurezza logica dei software di sistema Migliorabile
7.12 Sicurezza logica utenti Carente
7 Misure informatiche
Area Sub-Area Maturity
Carente
Rilasci operativirelazione finale
5. Benefici e Vantaggi
Benefici e vantaggi
Metodologia basata su tool Microsoft e su
framework internazionali per la valutazione
dei controlli
Personalizzazione delle analisi in base
all’azienda
Analisi di tutti gli adempimenti del GDPR
La soluzione Insight e Agic per i clienti Gipo
Riassumendo
Attività di identificazione e valutazione con metodo
strutturato
Consulenza per Piano di bonifica
Supporto e assistenza nelle fasi di implementazione
top related