GDPR: Come eseguire un audit interno di verifica della conformità

Il Regolamento generale sulla protezione dei dati (GDPR) ha imposto molti nuovi obblighi alle imprese che trattano i dati personali dei residenti dell’UE. Come verificare che la tua impresa sta rispettando tali obblighi? Con un audit.

Prima che un revisore esterno valuti le misure adottate per conformarsi al regolamento, vale la pena condurre un audit interno per verificare se i controlli, le politiche e le procedure siano adeguate e, in caso contrario, come devono essere migliorate.

Ecco dieci aree chiave del GDPR che devi tenere in considerazione.

  1. Governance della protezione dei dati
    Responsabilità della protezione dei dati, politiche, procedure, controlli di misurazione della performance e meccanismi di controllo per monitorare la conformità: sono in funzione? In che misura?
  1. Gestione dei rischi
    Il rischio di privacy è incluso nel registro dei rischi aziendali? Quali accordi aziendali sono in atto per la gestione del rischio della privacy all’interno della tua impresa? In che misura il regime di rischio societario incorpora rischi specifici delle informazioni? Quali sono i rischi presi in considerazione per i diritti e le libertà delle singole persone?
  1. Progetto GDPR
    Il progetto GDPR in atto, è adeguatamente finanziato, supportato ed in grado di raggiungere obiettivi realistici?
  1. Responsabile della protezione dei dati (DPO)
    Nel caso in cui un DPO sia obbligatorio, è stato nominato ed il ruolo integrato nell’organigramma? La persona nominata è in grado di soddisfare i requisiti del GDPR?
  1. Ruoli e responsabilità
    Come sono definiti i ruoli e le responsabilità in tutta l’organizzazione? Come viene affrontata la questione della formazione del personale?
  1. Ambito di applicazione
    È essenziale che l’ambito di applicazione sia definito in modo chiaro, tenendo conto di tutti i processi di elaborazione dei dati nei quali la tua impresa ha un ruolo preciso, sia come titolare del trattamento, sia responsabile del trattamento, nonché qualsiasi attività di condivisione dei dati. Al fine di determinare l’ambito di conformità, è inoltre necessario identificare tutti i database che contengono dati personali, nonché tutte le elaborazioni extraterritoriali e frontaliere.
  1. Analisi del processo
    Per ogni processo che coinvolge i dati personali è importante identificare come sono stabiliti i principi di elaborazione dei dati, ossia la base legale al trattamento. Ci sono processi per i quali una valutazione d’impatto della protezione dei dati (DPIA) è obbligatoria, e per quali processi una DPIA potrebbe contribuire a stabilire la protezione dei dati fin dalla progettazione e per impostazione predefinita?
  1. Sistema di gestione delle informazioni personali
    Esiste un’ampia gamma di documentazione necessaria per garantire che la tua impresa sia in grado di dimostrare la conformità al GDPR, per esempio una politica di protezione dei dati, una procedura di notifica di violazione, moduli e procedure per la richiesta di accesso, DPIA e moduli per il consenso. La quantità di documentazione deve essere adeguata alle dimensioni ed alla complessità dell’organizzazione. Il sistema di gestione delle informazioni personali dovrebbe anche considerare la formazione e la sensibilizzazione del personale.
  1. Sistema di gestione della sicurezza delle informazioni (ISMS)
    Verifica le misure tecniche ed organizzative che assicurano un’adeguata sicurezza dei dati personali, sia che si tratti di dati tenuti in forma cartacea, sia in forma elettronica o elaborati dai sistemi dell’azienda. Ciò include una revisione delle metodologie per testare la sicurezza e delle certificazioni, standard o codici di pratica per la sicurezza informatica.
  1. Diritti degli interessati
    L’organizzazione ha bisogno di processi che consentano di facilitare e di rispondere agli interessati che esercitano uno o più diritti, incluso il diritto di accesso.

Rivolgiti agli esperti

Condurre un audit interno può essere un compito complesso, sia per un’impresa di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie. Come ovviare il problema? Basta rivolgersi agli esperti di GDPR di IT Governance.

Prenota il nostro servizio di Analisi del gap GDPR e scopri se la tua organizzazione è conforme al regolamento, o cosa deve essere ancora fatto per raggiungere la piena conformità. È disponibile anche per le piccole imprese.

Oppure, partecipa al nostro corso di formazione professionale online sul GDPR che ti permetterà di sviluppare le competenze ed acquisire le conoscenze operative necessarie a costruire, implementare e gestire un programma di conformità al Regolamento nella tua organizzazione.

Iscriviti subito!

 

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.