RGPD Domande e risposte: adempimento e certificazione

Abbiamo organizzato una serie di webinar sul Regolamento Generale sulla Protezione dei Dati (RGPD). Ogni webinar copre una specifica tematica legata al Regolamento e si conclude con una sessione di domande e risposte con il nostro esperto. Questo mese, abbiamo raccolto per voi le domande più frequenti poste durante i nostri webinar e ve le proponiamo di seguito.

D: Vorrei preparare una lista di controllo, in particolare dal lato tecnico, per sapere se la mia azienda rispetta l’RGPD. Il Garante Privacy o qualsiasi altra autorità ha fornito delle linee guida in merito?

R: Per il momento, non esistono linee guida. I controlli appropriati variano da azienda a azienda, ma è consigliabile che includano sistemi di crittografia, test di penetrazione, controlli di accesso e backup. È necessario effettuare una valutazione dettagliata dei rischi e valutare come possono essere mitigati.

D: La nostra azienda è accreditata ISO 27001. Dobbiamo fare riferimento all’RGPD?

R: Sì. Sebbene le norme ISO 27001 forniscano una buona base per un quadro di conformità all’RGPD, tale certificazione non sarà sufficiente a garantire l’adempimento del nuovo regolamento.

D: Esiste una certificazione progettata per dimostrare la conformità alle problematiche dell’RGPD?

R: Le organizzazioni con certificazione ISO 27001 sono in grado di soddisfare numerosi requisiti di sicurezza tecnici e amministrativi dell’RGPD, ma è possibile che devano apportare alcune modifiche. La conduzione di una gap analysis dell’RGPD contribuirà a identificare ciò che è necessario per ottenere un sistema conforme alle norme ISO 27001, conforme all’RGPD.

D: Lo standard PCI DSS (Payment Card Industry Data Security Standard) e la legge sulla protezione dei dati (LPD) prevedono che si utilizzino controlli sui potenziali nuovi assunti, ma l’RGPD ha norme molto rigide su questo punto. Come ovviare a questa contraddizione?

R: È possibile effettuare controlli sui precedenti personali dei potenziali nuovi assunti però sarà necessario informarli che i loro dati potrebbero essere elaborati automaticamente (che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona). Essi possono rifiutare tale trattamento e l’azienda avrà il diritto di non proseguire con la candidatura senza conseguenze.

D: Quali sono i requisiti per avere un registro delle attività del trattamento dei dati? Quanto dovrebbe essere dettagliato?

R: L’RGPD esplicita esattamente che cosa dovrebbero contenere. Si veda L’articolo 30 del regolamento.

D: Abbiamo centinaia di registri di lavoro (del personale) che dobbiamo tenere per un certo numero di anni. Come possiamo affrontare questo problema pur rispettando il regolamento?

R: Tenendo un inventario dei registri in modo che si possa mantenere un controllo continuo sui dati, così come la loro conservazione.

D: È necessario adottare ulteriori provvedimenti anche se abbiamo già implementato un sistema di gestione della sicurezza delle informazioni (SGSI)?

R: L’implementazione delle misure organizzative e tecniche dipenderà dalla natura e dalla finalità dei dati elaborati. È quindi probabile che le aziende che già dispongono di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) avranno una buona base su cui costruire un quadro di conformità all’RGPD.

D: Quali sono i primi passi per l’implementazione relativi alle PMI?

R: Come primo passo, le imprese di qualsiasi dimensione devono identificare quali dati elaborano, da dove sono stati ottenuti e se dispongono delle autorizzazioni per elaborare tali dati in conformità alla nuova normativa.

Ciò può essere fatto tramite lo strumento della mappatura dei dati, che permetterà di identificare i passi a seguire.

Impara tutte le novità del nuovo Regolamento sulla Privacy (RGPD):

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.