Una volta individuati i punti di miglioramento aziendali attraverso attività come la Gap Analysis, è comunque necessario creare processi per l’implementazione di misure tecniche, per la valutazione dei fornitori già contrattualizzati e quelli da contrattualizzare, nonché per la stesura di policy e procedure interne per regolare i business process e il corretto trattamento dei dati personali.
- Revisione delle liste degli amministratori di sistema, rendendole compatibili con il provvedimento del Garante Privacy del 27 novembre 2008 e successive modifiche
- Redazione delle procedure per la valutazione dell’operato degli amministratori di sistema, in maniera conforme al suddetto provvedimento, o esecuzione della stessa attività, che viene inoltre verbalizzata;
- Redazione delle procedure per la gestione degli incidenti di sicurezza e l’eventuale notifica dei data breach, ex artt. 33 e 34 GDPR;
- Revisione della Policy Strumenti IT o altra documentazione riguardante l’uso accettabile della strumentazione aziendale;
- Impostazione e redazione di eventuale altra documentazione relativa alla cybersecurity;
- Assistenza nella predisposizione di tecnologie e procedure per facilitare i diritti dell’interessato (ad es. nel caso di diritto alla portabilità ex art. 20.1 GDPR e del diritto all’oblio ex art. 17.2 GDPR);
- Assistenza nell’applicazione e proceduralizzazione del principio di Data Protection by Design/Default nella progettazione di nuovi processi, prodotti e servizi, a norma dell’art. 25 GDPR.