Ispezione del Garante per la Protezione dei Dati

Paola Righetti

Paola Righetti

Le Ispezioni del Garante

Ogni anno il Garante della protezione dei dati effettua ispezioni presso i titolari del trattamento, sulla base

  • di un programma stilato semestralmente;
  • della segnalazione di eventuali incidenti di sicurezza (data breach);
  • dei reclami ricevuti dall’autorità.

Le attività vengono svolte in collaborazione, se non direttamente delegate, con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.

I documenti da fornire al Garante o alla Guardia di finanza

Potrebbe accadere che la tua attività venga sottoposta ad una ispezione.

E allora che fare? Se hai un consulente privacy che ti segue o un DPO, sicuramente ti avrà già spiegato come comportarti.

Non ti assiste nessuno? Non ti preoccupare, ora ti spiego quale documentazione ti serve e devi mostrare durante l’ispezione..

Tra i documenti da presentare ci sono:

  1. i documenti relativi struttura organizzativa relativa alla privacy. In essa devono essere definiti i ruoli (es. autorizzati, responsabili), devono esser presenti le nomine, o i DPA, ecc…
  2. il Registro delle attività di Trattamento (quello del Titolare del Trattamento, e se esiste quello del Responsabile del Trattamento)
  3. le procedure implementate (es. quella relativa alla Gestione di un Data Breach o alla ricezione di una richiesta di esercizio dei diritti da parte degli interessati);
  4. le informative sui trattamenti di dati personali svolti dall’organizzazione. E’ importante documentare non solo il contenuto delle informative, ma anche il modo con cui vengono fornite agli interessati;
  5. la modalità di acquisizione dei consensi, se li richiedi in qualche trattamento;
  6. la valutazione dei legittimi interessi ove vi siano trattamenti basati su questa base giuridica;
  7. gli atti sottoscritti ai sensi dell’art. 28 GDPR con i Responsabili del trattamento ed eventuali attività di audit svolte su di essi;
  8. l’atto di designazione del DPO o in assenza il documento di valutazione circa la decisione di non designarlo;
  9. l’analisi dei rischi e valutazioni di impatto (DPIA) svolte;
  10. le misure di sicurezza implementate in base ai rischi individuati;
  11. le regole implementate per determinare i periodi di conservazione dei dati o i criteri per individuarli;
  12. gli audit svolti internamente per la verifica della conformità;
  13. il piano di formazione e la formazione svolta all’interno dell’organizzazione relativamente ai temi del GDPR;

E tu sei pronto?

La documentazione elencata dimostra l’accountability del titolare, cioè la sua responsabilità.

Accountable è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male.

 

Rispondi a queste 3 domande:

1- Hai implementato la documentazione obbligatoria?

2- Hai fatto formazione ai tuoi dipendenti?

3- Hai adottato le misure di sicurezza organizzative e tecniche adeguate alla tua attività?

 

Se non sai come rispondere anche ad una sola delle tre domande, io ti posso aiutare. Contattami

 

 

"GOOGLE ANALYTICS E TRASFERIMENTI DI DATI"

Scopri come salvaguardare i dati personali dei tuoi visitatori con la nostra guida!
CATEGORIE ARTICOLI

ULTIME NOTIZIE

Lascia un commento al mio articolo e se ti è piaciuto, condividilo con i tuoi amici,

Share:

Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

70% completato

Ci sei quasi, inserisci la tua email qui

Iscrivendoti riceverai accesso a ulteriori training e comunicazioni da Studio Ing Righetti.

Potrai cancellare la tua iscrizione in ogni momento.
Privacy Policy

70% completato

Ci sei quasi, inserisci la tua email qui

Iscrivendoti riceverai accesso a ulteriori training e comunicazioni da Studio Ing Righetti.

Potrai cancellare la tua iscrizione in ogni momento.
Privacy Policy