Blog-winfatt-audit-e-valutazione-dei-processi-scopri-come-la-tua-azienda-e-soggetta-al-gdpr
GDPR

Audit e valutazione dei processi: scopri come la tua azienda è soggetta al GDPR


Hai sentito tanto parlare di GDPR ma ancora oggi non sai se la tua azienda è conforme alle regole sulla protezione dei dati?

Il GDPR è il nuovo Regolamento Europeo 679/2016 in materia di protezione dei dati personali, diventato ufficiale il 25 maggio 2018 in tutti i Paesi dell’Unione Europea. Riguarda tutte le aziende che trattano dati personali in Italia o in Europa.
Non sono escluse le imprese e gli enti che hanno sede al di fuori dell'Europa ma vendono beni e servizi, online o offline, nei Paesi Europei.

Come descritto dall’Art. 4 questa normativa riguarda i dati personali, ovvero: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“, dunque sono dati personali tutti quei dati che danno informazioni riconducibili ad un individuo e sono, ad esempio: dati anagrafici, indirizzo, numero di telefono, foto profilo, firma ecc.



Vediamo in questo articolo come fare per capire se la propria azienda è soggetta alle normative sulla protezione dei dati.





Il Regolamento in materia di protezione dei dati non si applica solo su specifici settori aziendali, per questo motivo le aziende effettuano delle valutazioni e degli audit guidati da consulenti esperti, per capire se si è soggetti al GDPR e come bisogna adeguare la propria impresa per evitare sanzioni amministrative o penali.

Ogni azienda deve investire in tecnologie e attuare dei comportamenti idonei per garantire la sicurezza i dati.

Prima di applicare qualsiasi valutazione interna aziendale bisogna capire quali sono i dati personali in possesso ed essere consapevoli di quali informazioni detiene l’azienda.


Vedi anche qual'è l'effetto del gdpr sulle microimprese


GDPR: come realizzare un Audit di conformità in azienda


La prima valutazione da effettuare insieme al consulente riguarda i processi aziendali: l’esperto analizza attentamente i processi, valutando il loro grado rispetto alle normative di privacy attuali e suggerisce le modifiche necessarie da applicare per raccogliere e trattare correttamente i dati personali dei clienti.

L’analisi dei processi aziendali si concentra in particolare sulle

  • procedure di raccolta dei dati
  • sui flussi di trattamento
  • sulla conservazione dei dati personali



Vengono analizzati attentamente tutti i soggetti che hanno accesso al trattamento dei dati personali.
In secondo luogo verranno revisionati o inseriti dei sistemi di sicurezza che hanno la la funzione di proteggere i dati personali conservati. Questi sistemi devono includere:


1. Processi di backup;
2. Antispam;
3. Firewall.

Il 90% dei dati personali dei clienti vengono raccolte online, attraverso i moduli di contatto nel sito web e attraverso le email.
Il terzo processo di analisi riguarda, dunque, le procedure interne per la gestione delle email, dei dispositivi portatili e dei sistemi di raccolta dati online.

In queste fasi si programma, solitamente, anche la formazione periodica del personale per evitare problematiche relative alla mancata conoscenza dei sistemi utilizzati in azienda.

La gestione del sistema informatico occupa gran parte della valutazione aziendale da parte dell’ Auditor, che approfondisce in particolare i seguenti ambiti informatici:

  • Cyber Security;
  • Cancellazione dei dati;
  • Gestione dei Big Data;
  • Gestione e prevenzione del Data Breach;
  • Gestione e sicurezza del Cloud Computing.


Dopo questa lunga valutazione, il consulente certifica se un’impresa è soggetta alle normative in materia di protezione dei dati. In questo caso, le aziende avranno la responsabilità di procedere con una verifica annuale sull’effettiva esecuzione della raccolta e il trattamento dei dati personali.