L’aggiornamento REMOTO del data protection management system
In queste settimane stiamo vivendo un periodo di grandi incertezze, tutto sembra rallentare, ma quello che si muove ancor più velocemente è la circolazione dei nostri dati.
Video call, smartworking, telelavoro, remote working, call conference impongono uno scambio digitale dei dati nostri e dei nostri clienti, dipendenti, collaboratori e fornitori su diverse piattaforme.
Ecco, dunque, un breve riassunto delle attività da completare per la conduzione controllata di un Data Protection Management System (DPMS).
LA GESTIONE INTERNA
Per il mantenimento corretto del DPMS, dobbiamo preoccuparci di:
⇒ Verificare una volta per tutte se la documentazione del nostro Data Protection Management System (DPMS) sia aggiornata ed attuale, oppure abbia necessità di integrazione e/o aggiornamento
RILEGGIAMO E FACCIAMO RILEGGERE POLICY, NOMINE, AUTORIZAZIONI, PROCEDURE, ISTRUZIONI, SLIDE DI FORMAZIONE E APPROFITTIAMO DEL TEMPO A DISPOSIZIONE PER FARE ORDINE NELLE CARTELLE DEL SERVER E NEGLI ARCHIVI DEI NOSTRI DATI
⇒ Verifichiamo che il nostro sistema contempli l’attività di smartworking con le modalità effettive che stiamo utilizzando
SE ABBIAMO ATTIVATO POLITICHE DI SMARTWORKING, È NECESSARIO VERIFICARE CHE IL NOSTRO DPMS PREVEDA IL TRATTAMENTO DEI DATI IN TALE REGIME E CHE LE RELATIVE MISURE DI SICUREZZA APPLICATE SIANO IDONEE. VERIFICHIAMO CHE LA NOSTRA VALUTAZIONE DI IMPATTO SIA COERENTE CON LE MUTATE MODALITÀ DI TRATTAMENTO
⇒ Verifichiamo che il personale abbia ricevuto idonee istruzioni ed autorizzazioni per l’attività che sta svolgendo
È OBBLIGO DEL TITOLARE DEL TRATTAMENTO AUTORIZZARE FORMALMENTE LE PERSONE CHE TRATTANO DATI PER SUO CONTO E FORMARLE CIRCA LE CORRETTE MODALITÀ DI TRATTAMENTO DEI DATI STESSI. SE IL NOSTRO PERSONALE ORA È IMPIEGATO TRAMITE SMARTWORKING, TELELAVORO, CALL CONFERENCE ECC, IL TITOLARE DEVE ASSICURARSI CHE TALI PERSONE POSSANO ATTUARE LE BEST PRACTICE DI TRATTAMENTO E CHE LE MISURE DI SICUREZZA SIANO CORRETTAMENTE APPLICATE
⇒ Assunzioni
IN CASO DI NUOVI INGRESSI, CON L’IMPOSSIBILITÀ DI UN PASSAGGIO FISICO PRESSO L’UFFICIO HR, OCCORRE COMUNQUE TRASMETTERE LA LETTERA DI AUTORIZZAZIONE AL TRATTAMENTO DATI CHE IL DIPENDENTE DEVE SOTTOSCRIVERE ED ANTICIPARE VIA MAIL. PROVVEDERÀ A CONSEGNARE LA LETTERA FIRMATA IN ORIGINALE ALLA RIPRESA DELLE ATTIVITÀ. CONTESTUALMENTE ALLA CONSEGNA È NECESSARIO FORNIRE AL LAVORATORE ANCHE LA FORMAZIONE RELATIVA ALLA DATA PROTECTION, INVITANDOLO A LEGGERE LE SLIDE E SOSTENERE IL TEST CHE CI TRASMETTERÀ VIA MAIL. È FONDAMENTALE ANCHE COINVOLGERE L’AMMINISTRATORE DI SISTEMA E/O L’IT MANAGER E/O CHI SI OCCUPA DELL’INFRASTRUTTURA INFORMATICA PER DEFINIRE LE CREDENZIALI E I GIUSTI PERMESSI DI ACCESSO IN BASE AL RUOLO DEL NEO ASSUNTO
⇒ Dimissioni o cessazione del rapporto di lavoro
SE CESSA IL RAPPORTO DI COLLABORAZIONE CON UN DIPENDENTE, O COMUNQUE UNA PERSONA AUTORIZZATA AL TRATTAMENTO, L’AMMINISTRATORE DI SISTEMA, EVENTUALMENTE IN COLLABORAZIONE CON L’IT MANAGER E/O CHI SI OCCUPA DELL’INFRASTRUTTURA INFORMATICA, DEVE REVOCARE GLI ACCESSI AI VARI SERVER AZIENDALI COMPRESE LE CASELLE DI POSTA
⇒ Responsabili Esterni
DURANTE QUESTO PERIODO DI EMERGENZA È PROBABILE RICORRERE A NUOVI FORNITORI, PER FAR FRONTE A NUOVI BISOGNI, SOPRATTUTTO IN AMBITO IT (ES. SERVER FARM, SOFTWARE HOUSE PER IMPLEMENTAZIONE DI PROTOCOLLI DI SMARTWORKING, ECC). RICORDIAMOCI SEMPRE CHE QUALSIASI COLLABORATORE, ESTERNO AL CONTROLLO DEL TITOLARE DEL TRATTAMENTO, CHE TRATTA DATI (COMPRESA LA SOLA CUSTODIA) PER CONTO DELLA NOSTRA ORGANIZZAZIONE, DEVE ESSERE NOMINATO RESPONSABILE DEL TRATTAMENTO EX ART. 28 DEL REG. UE 679/2016 – GDPR, ANCHE TENENDO CONTO DEGLI EVENTUALI VINCOLI IMPOSTI DAI CLIENTI.
⇒ Registri del trattamento
REGISTRO DEL TITOLARE: VERIFICHIAMO CHE SIA PRESENTE ED AGGIORNATO
REGISTRO DEL RESPONSABILE: IN CASO FOSSIMO STATI NOMINATI RESPONSABILI DEL TRATTAMENTO DA ALTRI TITOLARI (I NOSTRI CLIENTI), CONTROLLIAMO CHE IL REGISTRO SIA CORRETTAMENTE AGGIORNATO. APPROFFITTIAMO ANCHE PER VERIFICARE CHE EFFETTIVAMENTE AD OGNI SINGOLA NOMINA CORRISPONDA UN ADEGUATO REGISTRO DEL RESPONSABILE.
⇒ Amministratore di Sistema
APPROFFITTIAMO PER VERIFICARE LA PRESENZA E L’ATTUALITÀ DELLA NOMINA AL NOSTRO AMMINISTRATORE DI SISTEMA E CONTROLLIAMO CHE IL SUO SISTEMA DI ACCESSI (ACCESS LOG) SIA DISPONIBILE PER IL TITOLARE. VERIFICHIAMO ANCHE CHE EVENTUALI MODIFICHE NEL POOL DI CONSULENTI IMPEGNATI NELLA GESTIONE DELLA PARTE IT NON ABBIA COMPORTATO MODIFICHE E/O INTEGRAZIONI AL LIVELLO DI AMMINISTRATORE DI SISTEMA: MAGARI DOBBIAMO NOMINARNE DI ULTERIORI…
⇒ Data Breach
ABBIAMO UN REGISTRO DEI DATA BREACH? È AGGIORNATO? LE AZIONI INTRODOTTE (REMEDIATION PLAN) A FRONTE DI EVENTUALI E/O POTENZIALI DATA BREACH ACCADUTI SONO STATE AFFRONTATE E CONCLUSE?
⇒ Valutazione dei rischi
EFFETTUIAMO UN’ANALISI DELLO STATO DI FATTO DELLA NOSTRA VALUTAZIONE DEI RISCHI SUL TRATTAMENTO DEI DATI, AGGIORNIAMO LE AZIONI E INTEGRIAMO QUELLE INTRODOTTE A CAUSA E A SEGUITO DEL PERIODO DI QUARANTENA IN CORSO.
⇒ Infrastruttura
SFRUTTIAMO QUESTI MOMENTI IN CUI I NOSTRI UFFICI SONO VUOTI E LA PRODUTTIVITÀ È FORZATAMENTE RIDOTTA PER ESEGUIRE TUTTI QUEI LAVORI DI MANUTENZIONE ALLE INFRASTRUTTURE CHE IN UN REGIME NORMALE AVREBBERO CAUSATO BLOCCHI E RALLENTAMENTI. VALUTIAMO LE OPPORTUNITÀ DI AMMODERNARE L’INFRASTRUTTURA IT E LE LOGICHE DI DATA SHARING, DI BUSINESS CONTINUITY E DI DISASTER RECOVERY.
Criticità e opportunità
| CRITICITÀ | OPPORTUNITÀ |
| ⇒ è Collegamenti remoti realizzati con tempistiche ristrettissime
⇒ è Utilizzo di dispositivi personali dei dipendenti per lo svolgimento delle attività ⇒ è Mancata o scarsa formazione del personale che svolge le attività ⇒ è Misure di sicurezza approssimative |
⇒ è Investire per riorganizzare la propria tecnologia di collegamenti rendendoli affidabili e sicuri
⇒ è Investire su dispositivi, soggetti alla governance aziendale, da fornire ai propri dipendenti ⇒ è Formare il proprio personale, magari con corsi online fruibili durante il periodo di smartworking ⇒ è Investire in infrastrutture, tecnologia e organizzazione per garantire misure di sicurezza adeguate |
