GDPR - Registro trattamenti, Data Breach, DPIA

In ProcessFrame possono essere implementati e tenuti aggiornati il Registro dei trattamenti, le valutazioni di impatto sulla protezione dei dati (DPIA), la gestione delle segnalazioni e degli eventuali data breach, la pianificazione e la registrazione degli Audit,  il monitoraggio delle Azioni di miglioramento.

Questa specifica configurazione di Processframe come software per la compliance al GDPR e per la gestione della Privacy rientra nel modello PDCA: dapprima si registrano a sistema i dati relativi ai trattamenti rilevanti per l'azienda e si effettuano poi le valutazioni di rischio. A valle di questa valutazione si registrano gli incidenti e le segnalazioni interne e esterne, si controllano periodicamente i processi tramite attività di audit e si mettono in atto azioni di correzione e miglioramento. Infine, si rivedono periodicamente il registro dei trattamenti e le valutazioni di impatto in funzione dell'evoluzione dei processi e dei sistemi informatici. Tutto ciò viene tracciato all'interno del software, in modo da avere una visione globale di tutto il processo. 

Se sei interessato solo a questo specifico modulo, scopri la versione SaaS (Cloud) per la gestione del Registro dei Trattamenti e delle DPIA. 

Registro dei trattamenti e GDPR

clicca per ingrandire

Il registro dei trattamenti descrive ogni tipologia di trattamento dati esistente in azienda, e per ogni trattamento individua:

  • descrizione e finalità
  • le tipologie di dati trattati
  • le categorie di controparti interessate
  • i processi aziendali coinvolti
  • le applicazioni informatiche
  • i responsabili del trattamento

Oltre a queste informazioni, il registro stesso è altamente configurabile e adattabile per le specifiche esigenze dell'azienda cliente. In questo modo, il software traccerà e raccoglierà tutti i dati che si ritengono rilevanti al di là dei requisiti normativi. 

Ad ogni trattamento sono collegate sia le valutazioni di rischio e sia le eventuali valutazioni di impatto (DPIA) per quei trattamenti considerati più critici.

DPIA Data Protection Impact Assessment

clicca per ingrandire

Il modello utilizzato da ProcessFrame per il DPIA è quello suggerito dal CNIL (authority francese per la privacy e la protezione dei dati) e dall’ARTICLE 29 DATA PROTECTION WORKING PARTY. Innanzi tutto, si definisce l'obbligatorietà o meno della DPIA sul trattamento in questione seguendo i criteri definiti dal Garante per la Protezione dei dati personali: nel software viene quindi tracciato il preciso motivo per cui si effettua o meno la DPIA. Ad ogni trattamento che ,secondo l'analisi fatta, risulti critico vengono associate le misure di contenimento in essere e pianificate. Sulla base di queste, viene poi stimata la probabilità e la gravità delle tre tipologie di rischio principali:

  • perdita dei dati
  • accesso illegittimo ai dati
  • modifica illegittima dei dati

Verificata l'efficacia delle misure di contenimento e registrati eventuali incidenti, si procede periodicamente alla revisione della DPIA.

In generale il processo di gestione delle valutazioni di impatto per la protezione dei dati è conforme a quanto definito nello standard  ISO 29134.

Clicca per ingrandire

Segnalazioni, Data Breach e Audit

clicca per ingrandire

Oltre al registro dei trattamenti e alle DPIA con le valutazioni di rischio relative, è possibile gestire all'interno del software uno registro dedicato ai Data Breach, configurabile e personalizzabile a seconda delle informazioni che si vogliono tracciare. La possibilità di integrare la casella di e-mail (che sia posta ordinaria o PEC) permette di gestire tutte le comunicazioni che derivano dal Data Breach direttamente all'interno del sistema (ad esempio, agli interessati e al Garante della Privacy).  Allo stesso modo, il software consente di gestire in maniera centralizzata le comunicazioni con coloro che richiedano l'accesso, la modifica la cancellazione o l'estrazione dei dati.

Un altro importante passaggio consiste nel predisporre, se necessario, le azioni correttive/di miglioramento che possono derivare dal trattamento dei dati. In ProcessFrame è possibile collegare il modulo dell'azione a qualsiasi sorgente (Data Breach, richieste utenti ecc), "assegnarla" all'interno del sistema stesso alla funzione aziendale di riferimento e infine monitorarne l'andamento e verificarne l'efficacia. A supporto del monitoraggio e dell'esecuzione delle azioni entro i tempi prestabiliti, il software offre anche un sistema di scadenziario personalizzabile. 

Infine, è possibile customizzare i workflow approvativi per la gestione di queste attività, configurare le checklist di audit secondo le esigenze dell'azienda ed aprire Non Conformità a seguito delle verifiche effettuate. 

Tutti i processi, quindi, vengono gestiti all'interno della piattaforma e vengono tracciati dall'inizio alla fine: questo consente all'azienda di monitorare il tutto in maniera integrata all'interno del software e di gestire le statistiche e la reportistica partendo da una base dati completa. 

Clicca per ingrandire