La checklist della CNIL in italiano per l'analisi dei rischi dei dati personali
Il Garante privacy d'Oltralpe (CNIL) ha pubblicato una guida operativa sulla sicurezza dei dati personali. Ecco la traduzione in italiano per confrontare le misure di sicurezza applicate nella propria organizzazione.
-
Trasparenza
E' prevista l’informativa per ogni trattamento di dati personali?
E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?
-
Autenticazione
E’ previsto un unico ID-utente (login) per ogni utente?
Sono previste e applicate delle regole sulla creazione delle password?
E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
E’ limitato il numero dei tentativi di accesso agli account?
-
Access Management
Sono definiti dei profili di autorizzazione per i diversi trattamenti?
Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
Viene eseguito un aggiornamento annuale delle autorizzazioni?
-
Log System e gestione degli incidenti
E’ presente un log system?
I lavoratori e altri utenti sono stati informati del funzionamento del log system?
Il sistema di log e le informazioni di log sono protette?
E’ presente una procedura per la notifica del Data Breach?
-
Sicurezza della postazione di lavoro
E’ prevista le chiusura automatica delle sessioni di lavoro?
Il sistema antivirus è aggiornato regolarmente?
E’ installato un sistema firewall?
E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?
-
Sicurezza dei dispositivi portatili
Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
Vengono effettuati regolarmente backup e sincronizzazione dei dati?
E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?
-
Protezione della rete locale
Limitare gli accessi alla rete allo stretto necessario.
Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?
-
Sicurezza dei server
Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
Installare aggiornamenti importanti senza ritardo
E’ facilitata la disponibilità dei dati?
-
Sicurezza dei siti web
Sono utilizzati protocolli TLS o HTTPS?
E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
E’ presente l’informativa e il banner sull’utilizzo dei cookie?
-
Continuità Operativa
Viene eseguito regolarmente il back up?
I dispositivi di back up sono conservati in un luogo sicuro?
Sono previste delle misure di sicurezza per il trasporto dei backup?
E’ organizzata e verificata regolarmente la Continuità Operativa?
-
Procedure di archiviazione
Sono implementati specifici metodi di accesso ai dati archiviati?
Gli archivi obsoleti sono cancellati in modo sicuro?
-
Aggiornamento e cancellazione dei dati personali
Gli interventi di manutenzione sono registrati?
Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?
-
Gestione dei Data Processors
Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)
-
Sicurezza delle comunicazioni
I dati personali sono cifrati prima dell’invio?
Viene verificato chi sia il giusto destinatario?
Le informazioni segrete sono inviate separatamente e con differente canale?
-
Sicurezza fisica
Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
E’ presente un sistema di allarme e viene verificato periodicamente?
-
Crittografia dei dati
Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?
Come applicare le misure CNIL nella mia azienda?
SLB Consulting. Studio Legale offre la propria competenza per aiutare l'azienda o il professionista ad applicare le misure di sicurezza CNIL o di altri standard, individuando le misure più adeguate al livello di rischio senza compromettere il business.
Scrivici per fissare un incontro gratuito a Bologna o in video conferenza.
Speciale Adeguamento Privacy
Ascolta la Radio dell'Avvocatura su www.webradioiuslaw.it
Su IusLaw WebRadio il programma di approfondimento per gli appassionati di Data Protetction!