PRIVACY ANALYSIS

Fase 1 – ANALISI PROCESSI

Analisi dei processi atta ad individuare i trattamenti dei dati personali coinvolti. Nell’ ambito di tale attività verrà presa in esame tutta la Vs. struttura organizzativa, partendo , laddove implementati, dai sistemi di gestione e modelli organizzativi già in essere, con l’obiettivo di rendere i due sistemi integrati e reciprocamente funzionali.

Fase 2 –   ANALISI DEI TRATTAMENTI  

Per ogni trattamento individuato andremo ad individuare:

  • il titolare del trattamento
  • eventuali co-titolari del trattamento
  • i responsabili del trattamento interni
  • i responsabili del trattamento in outsourcing
  • i soggetti autorizzati al trattamento dei dati
  • eventuali trasferimenti verso paesi terzi
  • finalità del trattamento nonché base giuridica del trattamento
  • eventuali legittimi interessi perseguiti dal titolare
  • soggetti interessati
  • categorie di dati trattati
  • categorie e ruolo dei destinatari
  • durata del trattamento
  • operazioni di trattamento consentite
  • database relativi al trattamento
  • archivi cartacei nei quali sono conservati i dati
  • l’obbligo o meno della valutazione d’impatto

 

Fase 3 – ANALISI DEI RISCHI

Il regolamento richiede al Titolare del Trattamento di adottare misure idonee sulla base di una valutazione dei rischi.

L’analisi dei rischi da noi proposta si basa su criterio ISO 27001 (gestione dei rischi nei sistemi informativi con approccio per processi) integrata dalla valutazione dei rischi strettamente connessi alle norme che regolano il trattamento dei dati personali.

Include aspetti relativi alla sicurezza logica, fisica ed organizzativa. Vuole dimostrare la conformità e l’efficacia delle scelte organizzative e delle attività operative poste in atto per garantire la riservatezza, l’integrità e la disponibilità delle informazioni.

L’analisi dei rischi terrà conto dei seguenti parametri:

  • Stato dell’arte
  • Natura, oggetto, contesto e finalità del trattamento
  • Rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Verrà proposto un Piano di Trattamento del Rischio per ogni trattamento individuato nella Fase 1.

FASE 3 – REDAZIONE REGISTRO DEI TRATTAMENTI

In questa fase verrà redatto il registro dei trattamenti dei dati personali che riporterà tutte le indicazioni scaturite dalle analisi di cui al punto 1 e l’indicazione delle misure adottate rilevate nella fase 2.

FASE 4 – REDAZIONE ATTI DI INFORMAZIONE E CONSENSI

In questa fase verranno redatte tutte le informative relative ad ogni singolo trattamento individuato e verrà predisposto il modello di consenso informato laddove necessario (atti di informazione per clienti/fornitori, aspiranti dipendenti, dipendenti e collaboratori, prospect, utenti siti web, soggetti ripresi dalla videosorveglianza, ecc.). Non è compresa in questa fase l’informativa ai dipendenti per eventuali controlli sui sistemi informatici in quanto da ricomprendersi nella fase Privacy Project.