Introduzione / Getting started

Una volta creata un’istanza, si rende necessario configurare il software per renderlo operativo. Una volta operativo, DPM agevolerà la gestione degli adempimenti afferenti alla protezione dei dati.

Di seguito vengono riassunti i passaggi essenziali necessari per mettere un’istanza DPM in produzione.

../_images/Timeline.png

Fase 0 - Configurazioni di base

Le configurazioni essenziali possono essere definite tramite la voce di menu Configurazione, tra queste le più rilevanti sono:

  • Definizione dei destinatari delle notifiche

  • Definizione del Titolare e del DPO/RPD predefinito

Fase 1 - Profili e permessi

Definizione dei Ruoli applicativi e privilegi utente.

Fase 2 - Popolamento

In questa fase è necessario inserire quante più informazioni utili all’entrata in produzione dell’applicativo; le informazioni più rilevanti sono:

È possibile importare le informazioni in maniera massiva inserendole nei fogli di calcolo contenenti i tracciati del DB. Di seguito due tracciati, uno semplificato ed uno completo, per importare il registro delle attivtà di trattamento nella sua interezza.

Fase 3 - Facoltativo - Censimento attività di trattamento

Fase 3.1 - Censimento

Il censimento delle attività di trattamento può essere fatto in modalità distribuita, centralizzata o mista.

Centralizzato: Le attività sono inserite da un solo utente o ufficio a cui sono assegnati i permessi per modificare il Registro dei trattamenti.

Distribuito: A determinati utenti sparsi in diverse unità organizzative vengono assegnati i permessi necessari per inserire le attività di trattamento nel registro e definirne autonomamente gli attributi (categorie di dati, categorie di interessati, ecc.)

Misto: A determinati utenti sparsi in diverse unità organizzative sono assegnati i permessi necessari ad inserire le attività di trattamento nel registro. La definizione dei possibili attributi (categorie di dati, categorie di interessati, ecc.) viene fatta in maniera centralizzata.

Fase 3.2 - Correlazione attività di trattamento-unità

La correlazione Trattamento-unità può essere fatta in maniera centralizzata tramite il procedimento descritto Inserimento nuova attività di trattamento. Qualora i trattamenti fossero invece inseriti utilizzando la modalità distribuita , questi sono automaticamente associati all’unità organizzativa nel contesto della quale il soggetto opera.

Fase 4 - Gestione responsabilità interne

Avvertimento

I modelli di lettere, accordi (e di ogni altro documento) precaricati sono senz’altro da considerarsi a titolo esemplificativo: si raccomanda pertanto la personalizzazione di questi modelli.

4.1 Nomina responsabili/referenti interni

Primo passaggio del processo di responsabilizzazione interna del personale è quello di nominare formalmente determinati soggetti interni all’organizzazione ai quali si conferiscono compiti di coordinamento, ovvero che fungano da punto di contatto in materia di privacy e protezione dei dati, come descritto nel capitolo Nomina dei designati. La definizione di queste figure può anche essere disgiunta dai privilegi applicativi assegnati agli utenti tramite la definizione dei Ruoli applicativi e privilegi utente

4.2 Nomina Incaricati/autorizzati

L’individuazione degli incaricati può essere fatta in maniera centralizzata, decentralizzata o sulla base di regole predefinite (quest’ultima opzione è disponibile solo nella versione Pro di DPM).

4.3 Nomina amministratori di sistema

Gli amministratori di sistema sono individuati per applicativi o per componenti IT. Vedi: Assegnazioni agli amministratori di sistema

Fase 5 - Gestione responsabilità esterne

La gestione delle responsabilità esterne passa per due attività di correlazione potenzialmente già effettuate in fase di censimento dei trattamenti.

Può essere anche oppurtuno tracciare l’eventuale relazione tra una terza parte e la fornitura di un applicativo:

  • Correlazione Trattamenti - Terze parti

  • Correlazione Trattamenti - Applicativi

  • Correlazione Applicativi - Terze parti

Fase 6 - Manutenzione

In virtù del principio di responsabilizzazione è importante mantenere la documentazione relativa alla protezione dei dati aggiornata.