Come possiamo assicurarci che i dati siano trattati in modo sicuro?

I piani di azione per mettere in sicurezza i dati personali dipenderanno da un ampio spettro di fattori: ad esempio dai tipi di dati memorizzati, da quanto sono sensibili, da quanti ne detenete, da quanto è complessa la vostra infrastruttura digitale e se all’interno della vostra azienda/organizzazione esistono le competenze in materia di sicurezza digitale o avete optato per l’esternalizzazione.

Come minimo bisognerebbe comunque intraprendere le seguenti azioni:

  • Elencare quali dati personali si detengono e mappare dove sono conservati.
  • Effettuare una valutazione del rischio, individuando con precisione le fonti più probabili di accessi/diffusioni non autorizzate.
  • Implementare un piano di azione per la protezione dei dati, basato sulla valutazione del rischio, che includa: minimizzazione dei dati (raccogliere, elaborare e memorizzare solo i dati assolutamente necessari), controllo degli accessi (limitare i soggetti che hanno accesso ai dati personali), sicurezza della conservazione (dove sono memorizzati i dati personali e/o sensibili? Sono memorizzati separatamente dai dati non personali / non sensibili? Sono memorizzati in forma crittografata?), realizzazione di una “igiene digitale” del personale e politiche ben definite di ritenzione, archiviazione e cancellazione dei dati.
  • Verificare la sicurezza dei sistemi che memorizzano dati personali (server, email, archivi, etc.).
  • Documentare tutte le azioni intraprese per proteggere i dati personali in vostro possesso.
  • Mettere a punto e testare un piano di azione nel caso di violazioni dei dati, che dovrebbe includere ruoli e responsabilità, segnalazioni alla DPA e così via.
  • Redigere un piano per la revisione periodica di queste azioni.