Per essere compliance con il GDPR, per quanto riguarda la parte Sistemi, occorre osservare lo standard, di riferimento della sicurezza dell’informazione (integrità, riservatezza e disponibilità), ISO/IEC 27001 e ISO/IEC 27002 diventa elemento imprescindibile.
Tra le raccomandazioni delle citate ISO si richiamano:
- Gestione degli asset: trattamento dei supporti (tra cui la dismissione dei supporti)
- Controllo degli accessi (tra cui la gestione degli accessi degli utenti ed il controllo degli accessi ai sistemi e alle applicazioni)
- Crittografia (controlli crittografici)
- Sicurezza delle Comunicazioni (gestione della sicurezza della rete e trasferimento delle informazioni)
- Aspetti relativi alla sicurezza delle informazioni della continuità operativa (continuità della sicurezza delle informazioni)
- Conformità (conformità ai requisiti cogenti e contrattuali e riesami della sicurezza delle informazioni)
I documenti che dovranno essere presenti nel MOP – Modello Organizzativo della Privacy
- Informativa della privacy
- Adempimenti per il Trattamento dei dati
- Identificare e nominare/revocare il Titolare della Protezione dei dati, il/i Responsabili e il/i Autorizzati
- Registro dei Trattamenti dei dati
- Analisi dei Rischi
- Valutazione di impatto della protezione dei dati – DPIA
- Gestione del Data Breach
- Codici di Condotta e Certificazione
Quando si modifica il MOP? Idealmente quando cambia qualcosa oppure una volta all’anno, come per il DPS, entro il 31 marzo di ciascun anno. Il MOP risulta ad essere un sistema statico.
Inserendo queste attività nelle Procedure esistenti in un Sistema di Qualità ISO 9001 il Modello Operativo della Privacy diventa dinamico e prende la denominazione di Sistema di Gestione della Privacy – SGP
E’ fondamentale una corretta Formazione degli utenti che può anche essere erogata in modalità on line per non bloccare la loro operatività delle persone operanti in Azienda.
Per ulteriori informazioni: sergio.chiarla@etiprivacy.it
