I piani di azione per mettere in sicurezza i dati personali dipenderanno da un ampio spettro di fattori: ad esempio dai tipi di dati memorizzati, da quanto sono sensibili, da quanti ne detenete, da quanto è complessa la vostra infrastruttura digitale e se all’interno della vostra azienda/organizzazione esistono le competenze in materia di sicurezza digitale o avete optato per l’esternalizzazione.
Come minimo bisognerebbe comunque intraprendere le seguenti azioni:
- Elencare quali dati personali si detengono e mappare dove sono conservati.
- Effettuare una valutazione del rischio, individuando con precisione le fonti più probabili di accessi/diffusioni non autorizzate.
- Implementare un piano di azione per la protezione dei dati, basato sulla valutazione del rischio, che includa: minimizzazione dei dati (raccogliere, elaborare e memorizzare solo i dati assolutamente necessari), controllo degli accessi (limitare i soggetti che hanno accesso ai dati personali), sicurezza della conservazione (dove sono memorizzati i dati personali e/o sensibili? Sono memorizzati separatamente dai dati non personali / non sensibili? Sono memorizzati in forma crittografata?), realizzazione di una “igiene digitale” del personale e politiche ben definite di ritenzione, archiviazione e cancellazione dei dati.
- Verificare la sicurezza dei sistemi che memorizzano dati personali (server, email, archivi, etc.).
- Documentare tutte le azioni intraprese per proteggere i dati personali in vostro possesso.
- Mettere a punto e testare un piano di azione nel caso di violazioni dei dati, che dovrebbe includere ruoli e responsabilità, segnalazioni alla DPA e così via.
- Redigere un piano per la revisione periodica di queste azioni.