Autovalutazione

Questionari

I 5 questionari per l’autovalutazione delle organizzazioni, sul GDPR e la sicurezza informatica, sono anonimi. Nessun dato viene infatti salvato sui nostri server. Avete la possibilità di inserire all’inizio del questionario il nome della vostra organizzazione (o un nome di fantasia), questa è solo un’opportunità e non è obbligatorio per la valutazione. Alla fine della compilazione, i risultati possono essere salvati su file pdf in forma sintetica e in forma dettagliata. In questi pdf che potrete scaricare solo voi alla fine della compilazione, può comparire il nome dell’organizzazione che avete inserito all’inizio.

È uno strumento offerto gratuitamente senza alcuna registrazione di dati, essendo sviluppato in html e javascript, i dati inseriti lavorano a livello di client e non di server.

N

Legalità, correttezza e trasparenza

N

Diritti degli individui

N

Responsabilità e governance

N

Sicurezza dei dati, trasferimenti internazionali e violazioni

N

Valutazione del rischio

Inizia, questo servizio è gratuito

Valutazione Conformità GDPR

Benvenuto

Questa procedura guidata ti aiuterà a valutare la postura della tua organizzazione in merito alla Data Protection e alla conformità al GDPR attraverso 5 questionari.

Inizia inserendo il nome della tua azienda per personalizzare il report finale.

Passaggio 1/5: Legalità, Correttezza e Trasparenza

1.1 La tua azienda ha condotto una verifica delle informazioni per mappare i flussi di dati?

Dovresti organizzare una verifica delle informazioni nella tua azienda per identificare i dati che elaborate e il modo in cui scorrono.

1.2 L'attività ha documentato quali dati personali possiede, da dove provengono, con chi li condivide e cosa ne fa?

Documentare i risultati della verifica aiuta a rispettare il principio di responsabilità del GDPR.

1.3 Avete identificato e documentato la base giuridica per ogni attività di trattamento?

È necessario identificare la base giuridica prima di poter elaborare i dati personali. Ci sono sei basi legali disponibili.

1.4 Avete esaminato come chiedete, ottenete e registrate il consenso?

Il GDPR stabilisce un alto standard per il consenso. Le richieste devono essere separate, richiedere un opt-in positivo e specifiche.

1.5 Avete sistemi per registrare e gestire il consenso in corso?

Dovresti continuare a riesaminare il consenso come parte della relazione continuativa con le persone e aggiornarlo se qualcosa cambia.

1.6 Se offrite servizi online a minori, avete sistemi per gestire il consenso parentale?

Per i minori di 16 anni è necessario ottenere il consenso da chiunque abbia la responsabilità genitoriale.

1.7 Avete documentato le circostanze in cui trattereste dati per 'interessi vitali'?

Questa base giuridica è molto limitata e si applica generalmente a questioni di vita o di morte, come cure mediche di emergenza.

1.8 Se vi basate su 'interessi legittimi', avete applicato e documentato il test di bilanciamento in tre parti (LIA)?

Se si desidera fare affidamento su interessi legittimi, è necessario utilizzare il test in tre parti per valutare se si applica.

Passaggio 2/5: Diritti degli Individui

2.1 Avete fornito informazioni sulla privacy (Informativa) chiare e complete alle persone?

L'informativa deve essere concisa, trasparente, intelligibile, facilmente accessibile e gratuita.

2.2 Se offrite servizi a minori, comunicate le informazioni sulla privacy in modo comprensibile per loro?

Qualsiasi informazione diretta al minore dovrebbe essere concisa, chiara e scritta in un linguaggio semplice e adatto all'età.

2.3 Avete un processo per riconoscere e rispondere alle richieste di accesso ai dati (diritto di accesso)?

Gli individui hanno il diritto di ottenere conferma che stai elaborando i loro dati e accesso ai propri dati personali. Le informazioni vanno fornite entro un mese.

2.4 Avete processi per garantire che i dati personali siano precisi e aggiornati (diritto di rettifica)?

Gli utenti hanno il diritto di rettificare i propri dati personali se sono inesatti o incompleti.

2.5 Avete un processo per cancellare in modo sicuro i dati non più necessari (diritto all'oblio)?

Gli utenti hanno il diritto di richiedere la cancellazione quando i dati non sono più necessari per lo scopo per cui li hai raccolti.

2.6 Avete procedure per rispondere alla richiesta di limitare il trattamento dei dati?

Gli utenti hanno il diritto di bloccare o limitare il trattamento dei loro dati personali in determinate circostanze.

2.7 Avete processi per consentire la portabilità dei dati?

Il diritto alla portabilità dei dati consente alle persone di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi.

2.8 Avete procedure per gestire le obiezioni al trattamento dei dati personali?

Le persone hanno il diritto di opporsi al trattamento dei loro dati personali in determinate circostanze.

2.9 Avete identificato se eseguite processi decisionali automatizzati, inclusa la profilazione?

Il GDPR fornisce garanzie per gli individui contro il rischio che una decisione potenzialmente dannosa venga presa senza l'intervento umano.

Passaggio 3/5: Responsabilità e Governance

3.1 La tua azienda ha una politica di protezione dei dati appropriata?

Una policy aiuta ad affrontare la protezione dei dati in modo coerente e a dimostrare le responsabilità ai sensi del GDPR.

3.2 Monitorate la conformità con le politiche di protezione dei dati?

È necessario disporre di un processo per monitorare la conformità alle policies di protezione e sicurezza dei dati.

3.3 La tua attività offre formazione sulla protezione dei dati per tutto il personale?

Dovresti informare tutto il personale che tratta i dati personali sulle loro responsabilità in materia di protezione dei dati.

3.4 Avete un contratto scritto con tutti i responsabili del trattamento (fornitori esterni)?

Ogni volta che si utilizza un responsabile di trattamento dei dati è necessario avere un contratto scritto in corso di validità.

3.5 Gestite i rischi delle informazioni in modo strutturato?

Dovresti stabilire in che modo tu (e tutti i tuoi elaboratori di dati) gestisci il rischio informativo.

3.6 Avete implementato la "Protezione dei dati in base al design" (Privacy by Design)?

L'utente ha l'obbligo generale di attuare misure tecniche e organizzative adeguate per dimostrare di aver integrato la protezione dei dati nelle attività di elaborazione.

3.7 La vostra attività sa quando condurre una Valutazione di Impatto sulla Protezione dei Dati (DPIA)?

È necessario eseguire una DPIA prima di iniziare qualsiasi tipo di elaborazione che "potrebbe comportare un rischio elevato".

3.8 Avete una struttura DPIA che si collega ai vostri processi di gestione del rischio?

Una DPIA può affrontare più operazioni di trattamento che sono simili in termini di rischi.

3.9 Avete nominato un Responsabile della Protezione dei Dati (DPO)?

Potrebbe essere necessario nominare un DPO se si effettua un monitoraggio regolare e sistematico su larga scala o si elaborano categorie speciali di dati su larga scala.

3.10 La direzione aziendale dimostra supporto e promuove una cultura di conformità?

I decisori dovrebbero dare l'esempio, dimostrando responsabilità per il rispetto del GDPR e promuovendo una cultura positiva.

Passaggio 4/5: Sicurezza, Trasferimenti e Violazioni

4.1 La tua azienda ha una politica di sicurezza delle informazioni con misure adeguate?

È necessario elaborare i dati personali in modo da garantire una sicurezza appropriata, valutando i rischi e scegliendo misure adeguate.

4.2 Avete un processo efficace per identificare e gestire le violazioni dei dati (Data Breach)?

Il GDPR introduce un obbligo di segnalare alcuni tipi di violazioni al Garante (entro 72 ore) e, in alcuni casi, alle persone colpite.

4.3 Garantite un livello adeguato di protezione per i dati trasferiti fuori dallo Spazio Economico Europeo (SEE)?

Il GDPR impone restrizioni al trasferimento di dati personali al di fuori dell'Unione Europea per garantire che il livello di protezione non sia compromesso.

Passaggio 5/5: Valutazione del Rischio Tecnico

5.1 Una parte qualsiasi del trattamento dei dati personali è effettuata tramite internet?

Il trattamento via internet espone i dati a rischi maggiori rispetto a una rete locale isolata.

5.2 Il personale interno può accedere al sistema tramite connessione internet?

L'accesso remoto, se non adeguatamente protetto (VPN, 2FA), è un vettore di attacco comune.

5.3 Il sistema è interconnesso a sistemi esterni o interni?

Ogni interconnessione è un potenziale punto di ingresso per minacce.

5.4 Un utente non autorizzato può accedere facilmente al sistema?

Indica una grave mancanza di controlli di accesso di base.

5.5 I ruoli e le responsabilità per il trattamento dati sono vaghi?

La mancanza di chiarezza porta a errori e negligenza.

5.6 L'uso consentito delle risorse IT è ambiguo?

Una policy di uso accettabile (AUP) è fondamentale per prevenire abusi.

5.7 I dipendenti possono usare dispositivi personali (BYOD) senza policy di sicurezza?

Il BYOD non gestito è una delle principali cause di violazione dei dati.

5.8 I dipendenti possono trasferire dati personali fuori dai locali aziendali?

Aumenta il rischio di perdita o furto dei dati se non regolamentato.

5.9 I dati personali possono essere trattati senza creare file di log?

I log sono essenziali per rilevare incidenti, condurre indagini e dimostrare la conformità.

5.10 Il trattamento è effettuato da un numero indefinito di dipendenti?

Viola il principio di "need-to-know" (minimo privilegio), aumentando la superficie di attacco interna.

5.11 Una parte del trattamento è eseguita da terzi (responsabili esterni)?

Il rischio si estende alla catena di fornitura. Richiede contratti solidi (DPA).

5.12 Il personale coinvolto non ha dimestichezza con la sicurezza?

L'errore umano è la causa principale degli incidenti. La formazione è cruciale.

5.13 Ritenete il vostro settore esposto ad attacchi informatici?

Settori come sanità, finanza e tech sono bersagli ad alto valore.

5.14 La vostra azienda ha subito attacchi o violazioni negli ultimi 2 anni?

Indica una vulnerabilità esistente e la probabilità di recidiva se le cause non sono state risolte.

5.15 Nel vostro settore esistono best practice di sicurezza che non rispettate?

Ignorare gli standard di settore (es. ISO 27001, PCI-DSS) è una bandiera rossa per la due diligence.

Dashboard dei Risultati

Questa è una sintesi della tua attuale postura di conformità GDPR.

Download Report

analisideirischi.it

Uno strumento gratuito da mettere a disposizione dei fornitori

-Giovanni

Il questionario è molto utile e rapido da condividere con chiunque

-Pietro

analisideirischi.it - un luogo unico per trovare tools e strumenti per la valutazione dei rischi

-Luca

Cyber Risk Assessment

Partendo dal progetto VERA – Very Easy Risk Assessment di Cesare Gallotti, abbiamo realizzato la versione WebApp dell’analisi dei rischi, secondo gli schemi ISO 27001 con i controlli della ISO 27002, il FNDP, i controlli essenziali per le mPMI. Tutto personalizzabile e modificabile per la tua organizzazione.

Scopri

DPIA Facile 

Abbiamo trasformato il software del CNIL utilizzato da molti utenti per la Data Protection Impact Analysis in una WebApp, multiutente e multiazienda. Pensato per i professionisti della data protction e per l’organizzazione che ha bisogno di velocizzare la stesura di più DPIA e/o di modificare quelle già preparate.

Scopri

Questionari di autovalutazione GDPR

Uno strumneto gratuito e anonimo per l’autovalutazione della tua organizzazione, utile per definire la propria postura rispetto a:

1. Legalità, correttezza e trasparenza
2. Diritti degli individui
3. Responsabilità e governance
4. Sicurezza dei dati, trasferimenti internazionali e violazioni
5.Valutazione del rischio

Scopri

Non aspettare che sia troppo tardi

Studio, ricerca e strumenti pratici. Pensati per il professionista e per l’organizzazione.

Utilizza gli strumenti gratuiti o prenota una consulenza