La consulenza del DPO: quali sono le fasi di valutazione?

Il Data Protection Officer (o DPO) ha il compito di osservare, valutare e organizzare la gestione per la protezione del trattamento dei dati all’interno delle aziende per il settore pubblico e privato.

Grazie alla sue competenze giuridiche, tecniche e di risk management è possibile per l’impresa essere in regola senza cadere nelle sanzioni previste dal Garante per la Privacy.

Gli step seguiti dal DPO per mettere in regola un’azienda secondo il GDPR sono tre:

• Assessment & Gap Analysis
• Implementazione
• Audit

La prima fase serve al DPO a individuare lo stato attuale dell’azienda in ottica GDPR: vengono individuati i referenti del progetto, analizzati i documenti e le procedure esistenti e sono previste le interviste ai referenti delle aree aziendali coinvolte.

Dopo questo momento di Assessment è possibile redigere:

• La Gap Analysis, per individuare il posizionamento dell’azienda (as-is) con quello desiderato (to-be);
• La Business Blueprint, per specificare le fasi di progetto dello step di implementazione, con dettagli delle attività, delle fasi e degli obiettivi;
• Il GANTT di progetto con le tempistiche di realizzazione del progetto..

A seguito di questa analisi dello stato attuale, si procede con l’implementazione

Viene implementata tutta la documentazione necessaria per la costituzione del sistema di gestione in ambito GDPR.

L’implementazione consiste nella redazione di documenti e azioni specifiche, come:

• La definizione e predisposizione del Registro dei Trattamenti in qualità di Titolare e di Responsabile del Trattamento;
• La redazione dell‘organigramma Privacy;
• La condivisione e l’aggiornamento delle informative, delle nomine e dei regolamenti;
• La condivisione delle procedure necessarie;
• Il supporto nell’effettuazione dell’analisi dei rischi;
• La formazione e affiancamento del personale aziendale sulla norma e sui requisiti, affinché i processi durino nel tempo.

Verrà redatto un Registro delle attività con i dati del Titolare del Trattamento, le finalità, le categorie di destinatari a cui i dati sono stati comunicati, i termini ultimi per la cancellazione dei dati e una descrizione generale della misure di sicurezza tecniche e organizzative.

A cosa serve questo Registro?

Il Registro dei Trattamenti ha due funzioni:

• È uno strumento operativo che consente di censire le banche dati e i trattamenti e costituisce uno strumento di pianificazione e controllo delle attività di trattamento dei dati. Riduce gli sprechi in termini di tempo, di revisione e di duplicazione delle informazioni ed i rischi di eventuali trattamenti illeciti.
• È uno strumento di conservazione ordinata e di verifica da parte di terzi per le informazioni relative all’adozione delle misure tecniche e organizzative adeguate ed efficaci per l’adeguamento al GDPR.

Ai fini di garantire la continuità della procedura viene eseguito un Audit

Si tratta di una sorta di controllo per verificare lo stato di implementazione e di compliance al GDPR all’interno e all’esterno dell’azienda.

L’Audit interno permette di condurre verifiche all’interno dell’azienda, nell’ottica che venga eseguita l’implementazione delle procedure e una continuità nell’ottica GDPR. Mentre l’ Audit esterno viene svolto verso i fornitori esterni che trattano i dati personali, di cui l’Azienda è Titolare del Trattamento.

Ai fini della continuità l’Audit viene previsto con cadenza periodica, in cui viene verificato lo stato as-is e redatto un report.

Contatta i nostri DPO per il trattamento dei dati della tua azienda.