L’azienda ha condotto un audit delle informazioni per mappare i flussi di dati.
Argomento: 1.1 - Mappatura dei trattamenti
L’azienda ha documentato quali dati personali conserva, qual è la fonte dei dati, con chi li condivide (o a chi li trasmette) e cosa deve fare con quei dati
Argomento: 1.2 Dati conservati
L’organizzazione ha identificato le basi legali per il trattamento dei dati personali e le ha documentate
Argomento: 1.3 Basi legali per il trattamento
L’organizzazione ha esaminato e documentato come rilevare e conservare le manifestazioni di consenso
L’azienda dispone di sistemi per registrare e gestire il consenso in corso
Se le attività dell’organizzazione si affidano al consenso per offrire servizi online diretti a interessati minori, sono stati approntati sitemi per gestire tali consensi
Argomento: 1.5 Consenso ai dati personali dei minori per i servizi online
Se è possibile che dei dati personali vengano trattati per la protezione di interessi vitali di un interessato o di altra persona fisica, l’organizzazione ha documentato le situazioni nelle quali questa base giuridica può essere giustificata e rilevante.
Argomento: 1.5 Interessi vitali
Se ci sono trattamenti per i quali la base di liceità è il legittimo interesse, l’organizzazione ha documentato il test in tre parti o altra valutazione per dimostrare di avere tenuto adeguatamente conto della protezione dei diritti e delle libertà fondamentali degli interessati
Argomento: 1.6 Legittimo interesse
L’organizzazione ha sottoposto le informative “privacy” agli interessati
Argomento 2.1 – Diritto di essere informati sui trattamenti di dati personali
Se l’organizzazione offre servizi online direttamente a minori, le informazioni sul trattamento dei dati personali sono esposte in modo da essere comprensibili per interessati minorenni
Argomento 2.2 – Informazioni specifiche sul trattamento dei dati dei minori
L’azienda ha un processo per riconoscere e rispondere alle richieste degli individui di accedere ai loro dati personali.
Argomento 2.3 – Diritto di accesso
L’azienda dispone di processi per garantire che i dati personali conservati rimangano accurati e aggiornati.
Argomento 2.4 – Diritto di rettifica
L’organizzazione dispone di un processo per smaltire in modo sicuro i dati personali non più necessari o quelli per i quali un interessato ha richiesto la cancellazione
Argomento 2.5 - Diritto di cancellazione
L’organizzazione ha implementato un processo per gestire le richieste di limitazione del trattamento
Argomento 2.6 - Diritto di limitazione al trattamento
L’azienda ha definito dei processi per permettere agli interessati di copiare o trasferire i loro dati personali in modo sicuro dal sistema del titolare ad un altro senza problemi di usabilità
Argomento 2.7 - Diritto alla portabilità
L’organizzazione ha definito le modalità di gestione del diritto di opposizione al trattamento da parte di un interessato
Argomento 2.8 - Diritto di opposizione
L’azienda ha valutato se uno o più trattamenti di dati personali costituisca una decisione automatizzata e ha definito procedure idonee per la gestione dei diritti degli interessati in questi casi
Argomento 2.9 - Diritti collegati a decisioni automatizzate
L’organizzazione ha definito una policy per la protezione dei dati personali
Argomento 3.1 - Accountability
L’azienda verifica periodicamente il rispetto delle policy di protezione dei dati personali e verifica regolarmente l’efficacia delle misure tecniche e organizzative di sicurezza
Argomento 3.1 - Accountability
L’azienda pone in essere un piano di formazione sulla protezione dei dati per tutto il personale.
Argomento 3.1 - Accountability
L’azienda ha sottoscritto dei contratti con tutti i responsabili del trattamento di cui si avvale
Argomento 3.2 - Contratti con i responsabili del trattamento
L’azienda utilizza un processo di valutazione dei rischi di trattamento strutturato in modo che il management possa comprendere l’impatto dei rischi li possa gestire in modo efficace
Argomento 3.3 - Gestione dei rischi
L’organizzazione adotta misure tecniche e organizzative per integrare la protezione dei dati nella progettazione dei trattamenti
Argomento 3.4 - Data protection by design
L’organizzazione riconosce quando è necessario effettuare una valutazione di impatto prima di iniziare un trattamento di dati personali
Argomento 3.5 - Data protection impact assessment (Valutazione di impatto)
L’organizzazione ha strutturato un processo collegato alla gestione dei rischi esistente per l’esecuzione di una DPIA
Argomento 3.5 - Data protection impact assessment (Valutazione di impatto)
L’organizzazione ha designato un referente privacy (esterno o interno) o un Data Protection Officer
Argomento 3.6 – Responsabile della protezione dei dati (RPD o Data protection officer - DPO)
Nell’organizzazione le persone con poteri decisionali e/o ruoli chiave promuovono la cultura della protezione dei dati e ricevono specifica formazione dove necessario?
Argomento 3.7 - Responsabilità del management
L’azienda dispone di una politica di sicurezza delle informazioni supportata da adeguate misure di sicurezza
Argomento 4.1 - Policy di sicurezza
L’organizzazione dispone di processi efficaci per identificare, segnalare, gestire e risolvere eventuali violazioni dei dati personali
Argomento 4.2 - Notifica delle violazioni
L’azienda garantisce un adeguato livello di protezione per tutti i dati personali che possono essere trasferiti al di fuori dell’area economica europea nell’ambito dei trattamenti effettuati per proprio conto da altri soggetti
Argomento 4.3 - Trasferimenti internazionali
