Lavoriamo ogni giorno per accelerare, agevolare e adeguare la digital transformation dell'imprenditoria Sarda.
Vuoi sicurezza, protezione e adeguamento GDPR per la Tua attività?
La sfida
Dopo il kick-off del progetto e le prime analisi preliminari, si sono evidenziate gravi falle in ambito sicurezza, sia lato fisico che lato digitale (sito web e reti LAN dell’agenzia in primis), le politiche aziendali non prevedevano misure di sicurezza idonee al rischio odierno in campo IT e la documentazione non era stata adattata alla nuova normativa GDPR (Regolamento (UE) n. 2016/679). La sfida è stata quindi, da un lato, di far partire un processo di change management per innovare i comportamenti del personale e allinearlo alle best practices di cybersecurity, dall’altro, di ottemperare ai dettati del legislatore comunitario estendendo l’azione sulle cinque sedi dell’agenzia. Il tutto senza interrompere la normale continuità del lavoro dei collaboratori e del management.
Soluzione
Per vincere la sfida, il nostro team Consizos® ha articolato il progetto in dieci macro-fasi (si v. immagine al precedente paragrafo), al cui termine è seguito un training finale del management e di alcuni collaboratori chiave.
Ogni fase è stata concordata e discussa con il cliente nonchè approvata prima del lancio della successiva: un reporting periodico ci ha garantito di rimanere on-time, ma sopratutto aderenti al budget, con conseguente soddisfazione di Cosmopolitan stessa.
I risultati
Dal punto di vista documentale, tutto il lavoro svolto è stato sintetizzato nella DPIA (Data Protection Impact Assessment) e nel relativo DVR (Documento di Valutazione dei Rischi).
Lato IT, abbiamo colmato i gap di sicurezza e protezione richiesti dalla GDPR e portato il rischio medio ponderato ad un 5% ca. (rischio accettabile). Ciò ha incluso, tra le cose, protezione delle reti LAN, dei dispositivi, penetration test, best practice e comportamenti dannosi da evitare, messa in sicurezza del sito web e dei dati raccolti.
Dal punto di vista fisico, gli interventi principali sono stati:
- Organizzazione del materiale cartaceo in modo da poter espletare facilmente le eventuali richieste di diritto all’oblio, di rettifica, di portabilità, di accesso e di notifica;
- Adeguamento formale di tutta la documentazione (contratti, modulistiche, informative, ecc.) sono state modificate, integrate e/o corrette sostituendo la precedente legge sulla privacy (D. Lgs. 196/2003) con la nuova GDPR (Regolamento Europeo 679/2016);
- Redazione di un apposito documento per il consenso esplicito al trattamento dati;
- Predisposizione del “trito dati personali" per cestinare documenti contenenti dati personali.
