################################### Introduzione / Getting started ################################### Una volta creata un'istanza, si rende necessario configurare il software per renderlo operativo. Una volta operativo, DPM agevolerà la gestione degli adempimenti afferenti alla protezione dei dati. Di seguito vengono riassunti i passaggi essenziali necessari per mettere un'istanza DPM in produzione. .. image:: ../_images/Timeline.png :width: 900px Fase 0 - Configurazioni di base --------------------------------------------------- Le configurazioni essenziali possono essere definite tramite la voce di menu :ref:`Link_a_impostazioni`, tra queste le più rilevanti sono: - Definizione dei destinatari delle notifiche - Definizione del Titolare e del DPO/RPD predefinito Fase 1 - Profili e permessi --------------------------------------------------------------------------------- Definizione dei :ref:`Link_a_ruoli`. Fase 2 - Popolamento -------------------------------------------------------------- In questa fase è necessario inserire quante più informazioni utili all'entrata in produzione dell'applicativo; le informazioni più rilevanti sono: - Anagrafica (:ref:`Link_a_utenti`) e organigramma dell'organizzazione (:ref:`Link_a_unita`) - :ref:`Link_a_registro_trattamenti` - :ref:`Link_a_applicativi` - :ref:`Link_a_terzi` - Definizione delle misure di :ref:`Link_a_Misure_sicurezza` tecniche ed organizzative, trasversali e verticali È possibile importare le informazioni in maniera massiva inserendole nei fogli di calcolo contenenti i tracciati del DB. Di seguito due tracciati, uno semplificato ed uno completo, per importare il registro delle attivtà di trattamento nella sua interezza. - `Tracciato semplificato `_ - `Tracciato completo `_ Fase 3 - Facoltativo - Censimento attività di trattamento ---------------------------------------------------------------------- Fase 3.1 - Censimento ~~~~~~~~~~~~~~~~~~~~~~ Il censimento delle attività di trattamento può essere fatto in modalità distribuita, centralizzata o mista. **Centralizzato**: Le attività sono inserite da un solo utente o ufficio a cui sono assegnati i permessi per modificare il Registro dei trattamenti. **Distribuito**: A determinati utenti sparsi in diverse unità organizzative vengono assegnati i permessi necessari per inserire le attività di trattamento nel registro e definirne autonomamente gli attributi (categorie di dati, categorie di interessati, ecc.) **Misto**: A determinati utenti sparsi in diverse unità organizzative sono assegnati i permessi necessari ad inserire le attività di trattamento nel registro. La definizione dei possibili attributi (categorie di dati, categorie di interessati, ecc.) viene fatta in maniera centralizzata. Fase 3.2 - Correlazione attività di trattamento-unità ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ La correlazione Trattamento-unità può essere fatta in maniera **centralizzata** tramite il procedimento descritto :ref:`Link_a_trattamento_unita`. Qualora i trattamenti fossero invece inseriti utilizzando la modalità **distribuita** , questi sono automaticamente associati all'unità organizzativa nel contesto della quale il soggetto opera. Fase 4 - Gestione responsabilità interne ----------------------------------------------- .. warning:: I modelli di lettere, accordi (e di ogni altro documento) precaricati sono senz'altro da considerarsi a titolo esemplificativo: si raccomanda pertanto la personalizzazione di questi modelli. 4.1 Nomina responsabili/referenti interni ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Primo passaggio del processo di responsabilizzazione interna del personale è quello di nominare formalmente determinati soggetti interni all'organizzazione ai quali si conferiscono compiti di coordinamento, ovvero che fungano da punto di contatto in materia di privacy e protezione dei dati, come descritto nel capitolo :ref:`Link_a_responsabili_interni`. La definizione di queste figure può anche essere disgiunta dai privilegi applicativi assegnati agli utenti tramite la definizione dei :ref:`Link_a_ruoli` 4.2 Nomina Incaricati/autorizzati ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ L'individuazione degli incaricati può essere fatta in maniera centralizzata, decentralizzata o sulla base di regole predefinite (quest'ultima opzione è disponibile solo nella versione Pro di DPM). - Centralizzata: :ref:`Link_ad_assegnazioni_Admin` - Decentralizzata: :ref:`Link_ad_assegnazioni` - Automatizzata: Da definire a valle di analisi congiunta. 4.3 Nomina amministratori di sistema ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gli amministratori di sistema sono individuati per applicativi o per componenti IT. Vedi: :ref:`Link_ad_amministratori_di_sistema` Fase 5 - Gestione responsabilità esterne ----------------------------------------------- La gestione delle responsabilità esterne passa per due attività di correlazione potenzialmente già effettuate in fase di censimento dei trattamenti. Può essere anche oppurtuno tracciare l'eventuale relazione tra una terza parte e la fornitura di un applicativo: - Correlazione Trattamenti - Terze parti - Correlazione Trattamenti - Applicativi - Correlazione Applicativi - Terze parti Fase 6 - Manutenzione ----------------------------------------------- In virtù del principio di responsabilizzazione è importante mantenere la documentazione relativa alla protezione dei dati aggiornata.