Il Regolamento generale sulla protezione dei dati (GDPR) ha introdotto nelle aziende il concetto di "mappatura dei dati" come strumento per organizzare legalmente i dati personali dei consumatori.
Ma cos'è esattamente la mappatura dei dati e perché è così criticamente legata al GDPR?
In questa guida vi illustrerò la definizione di mappatura dei dati, il suo scopo e i suoi vantaggi e perché è importante per la conformità al GDPR .
Esplorerò anche il processo di mappatura dei dati passo dopo passo, oltre ad alcuni esempi e risorse utili per creare una mappa dei dati per la vostra azienda.
Indice dei contenuti
- Che cos'è la mappatura dei dati?
- Lo scopo della mappatura dei dati
- Vantaggi della mappatura dei dati
- Sfide della mappatura dei dati
- Migliori pratiche di mappatura dei dati
- Esempi di mappatura dei dati
- Mappatura dei dati e GDPR
- Come fare: mappatura dei dati per il GDPR
- Tecniche di mappatura dei dati
- Strumenti di mappatura dei dati
- Risorse per la mappatura dei dati
- Eseguire una migliore mappatura dei dati
- Che cos'è la mappatura dei dati?
- Qual è lo scopo della mappatura dei dati?
- Vantaggi della mappatura dei dati per la privacy
- Quali sono le sfide della mappatura dei dati?
- Migliori pratiche di mappatura dei dati
- Esempi di mappatura dei dati
- Perché la mappatura dei dati è importante per la conformità al GDPR
- Come fare: esercitazione sulla mappatura dei dati per il GDPR
- Tecniche di mappatura dei dati
- Utilizzo di uno strumento di mappatura dei dati
- Risorse per la mappatura dei dati
- Eseguire una migliore mappatura dei dati
Che cos'è la mappatura dei dati?
La mappatura dei dati è un sistema di catalogazione dei dati raccolti, di come vengono utilizzati, di dove vengono archiviati e di come viaggiano all'interno dell'organizzazione e oltre. Esistono vari modi per raggiungere questo obiettivo, che si tratti di un semplice foglio di calcolo o di un programma di mappatura dei dati dedicato, e l'estensione o il limite della mappatura dei dati dipenderà dalla vostra attività.
Tuttavia, la maggior parte delle mappe di dati dovrebbe includere le seguenti informazioni:
- Quali dati raccogliere
- Che si tratti di dati sensibili o personali
- La base giuridica per il trattamento di tali dati - questa dovrebbe fare riferimento alle sei basi giuridiche stabilite dal GDPR, che spiegherò di seguito
- Perché si raccolgono i dati
- Dove vengono archiviati i dati
- Per quanto tempo vengono conservati i dati
- In quali condizioni vengono conservati i dati - dovreste rispondere alla domanda: Quali misure di protezione sono in atto nella vostra organizzazione?
- Dove vengono trasferiti i dati
- Dove sono situati i destinatari terzi, con particolare attenzione ai trasferimenti internazionali di dati.
- Quali protocolli sono in atto per proteggere i dati durante i trasferimenti?
La mappatura dei dati è una combinazione dell'inventario dei dati e del flusso dei dati.
Una mappa dei dati è spesso composta da due parti: un foglio di calcolo che descrive i dati raccolti e un diagramma di flusso che illustra il movimento di tali dati attraverso i sistemi interni e i trasferimenti esterni.
Mappe di dati efficaci richiedono il contributo di quasi tutti i dipartimenti.
In particolare, è necessario il contributo dell'IT, dell'ufficio legale, del marketing e delle risorse umane. Inoltre, la documentazione di ogni singolo dato deve essere strettamente controllata dal vostro responsabile della protezione dei dati (DPO) o da un membro senior del vostro team per la privacy.
La mappatura dei dati non è un'attività una tantum
Sebbene debba essere effettuata il prima possibile, soprattutto se siete soggetti alla conformità con il GDPR, la mappatura dei dati è un'attività continua che dovreste implementare nelle vostre pratiche aziendali regolari.
Qual è lo scopo della mappatura dei dati?
Lo scopo della mappatura dei dati è quello di raccogliere tutte le informazioni sull'utilizzo dei dati da parte dell'azienda e presentarle in un'unica posizione.
Le mappe dei dati forniscono una struttura di facile lettura che mostra da dove provengono i vostri dati, chi li usa, come vengono archiviati e dove vengono inviati. Generando una mappa dei dati, vi assicurate di avere tutte le informazioni necessarie per rispettare le leggi internazionali sulla privacy.
Un altro scopo di una mappa dei dati è quello di trovare modi per semplificare i processi dei dati. Una mappa dei dati consente di individuare le ridondanze e i casi di non conformità. Di conseguenza, è possibile risolvere questi problemi prima che diventino problemi legali significativi.
Vantaggi della mappatura dei dati per la privacy
La mappatura dei dati non è solo un utile strumento di visualizzazione. Offre anche numerosi vantaggi che possono aiutarvi a garantire una migliore privacy ai vostri clienti e a migliorare la vostra conformità al GDPR.
Tra i vantaggi più importanti della mappatura dei dati vi sono:
- Rimanere conformi al GDPR: Il GDPR è una delle più importanti leggi sulla privacy dei dati a livello internazionale. Se si dispone di un'eccellente mappa dei dati, è facile rimanere conformi al GDPR monitorando il rispetto dei requisiti di trasparenza e correttezza previsti dalla legge.
- Produrre relazioni sull'articolo 30: Una delle clausole più critiche del GDPR è l'articolo 30. Questa clausola prevede che le organizzazioni presentino regolarmente relazioni sulle attività di trattamento (ROPA) relative alle modalità di raccolta e utilizzo dei dati. Creando una mappa dei dati, avrete già raccolto tutte le informazioni necessarie per i rapporti ROPA in un unico posto, rendendo più facile la loro presentazione su richiesta.
- Individuare e risolvere i rischi per la privacy: Le mappe dei dati offrono una chiarezza unica sul livello di protezione delle informazioni private dei visitatori. Per generare una mappa dei dati accurata, dovrete esaminare ogni aspetto del vostro trattamento dei dati, facendo emergere eventuali rischi per la privacy. Grazie a queste informazioni, potrete intervenire per risolverli prima che si traducano in un danno effettivo.
- Identificare le opportunità di sicurezza: Una volta risolti i rischi, la mappa dei dati offre indicazioni sui punti in cui è possibile rendere più sicuri i processi dei dati. Di conseguenza, è possibile dare priorità alle opportunità di sicurezza più importanti, invece di limitarsi a reagire alle minacce e ai rischi.
- Rispondere alle richieste di privacy: Ai sensi del GDPR, i consumatori hanno il diritto di richiedere la cancellazione di tutti i loro dati privati. Per farlo, dovete capire quali dati avete raccolto e dove sono archiviati. Una mappa dei dati vi fornisce una guida chiara per trovare tutti i dati di un individuo, indipendentemente da dove sono stati archiviati o da come sono stati utilizzati. Ciò consente di eliminare le informazioni in modo appropriato senza rischiare di perdere nulla.
- Comprendere l'elaborazione dei dati al massimo livello: I dati sono la linfa vitale delle aziende moderne. Una volta costruita una mappa dei dati accurata, avrete una comprensione approfondita di ciò che sapete, di ciò che non sapete e di ciò che dovete imparare. Quindi, potrete utilizzare queste conoscenze per creare processi di dati migliori e più sicuri per gli stakeholder interni ed esterni.
Quali sono le sfide della mappatura dei dati?
Sebbene la mappatura dei dati offra molti vantaggi, tra cui la conformità al GDPR , non è priva di sfide. Ad esempio, quando si inizia a mappare i processi dei dati, è probabile che si incontrino problemi come i seguenti:
Determinare se i dati sono personali
Il GDPR si applica alle informazioni che possono essere collegate a una persona fisica identificata o identificabile, comprese informazioni quali:
- Nomi
- Numeri di identificazione
- Identificazioni online
- Numeri di telefono
- Indirizzi
- Numeri di carta di credito
- Aspetto
- Dati sulla posizione
- Identificatori etnici, religiosi, genetici, fisiologici, sociali o commerciali.
In sostanza, qualsiasi informazione che possa iniziare a identificare una persona è coperta dal GDPR. Pertanto, per eseguire correttamente la mappatura dei dati, è necessario stabilire se i dati sono considerati personali o meno e indicarlo nella mappa stessa.
Identificazione di tutte le attività di trattamento dei dati
Una volta stabilito se i dati sono personali, è necessario esaminare le attività dell'organizzazione e identificare tutti i modi in cui vengono utilizzate le informazioni.
Il trattamento dei dati come definito dall'UE è il:
"la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altra messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione dei dati personali."
Gli esempi includono:
- Memorizzazione degli indirizzi MAC e IP
- Inviare ai clienti e-mail sulle promozioni
- Memorizzazione dei dati dei clienti per contatti futuri
- Pubblicare foto di una persona
- Registrazione di filmati di sicurezza
- Gestione delle buste paga
È necessario nominare tutte queste attività nella mappa dei dati, il che può rappresentare uno sforzo significativo per le grandi organizzazioni.
Monitoraggio degli obblighi legali e normativi
Il GDPR è un regolamento relativamente nuovo, pertanto i precedenti e l'applicazione della legge sono soggetti a cambiamenti. Man mano che vengono apportate queste modifiche, è vostra responsabilità monitorare i vostri obblighi attuali in materia di privacy dei consumatori. Inoltre, quando si verificheranno cambiamenti, dovrete tenerne conto nel vostro processo di mappatura dei dati, chiarendo come la vostra azienda si sta conformando ai nuovi requisiti.
La mappatura dei dati è preziosa per le organizzazioni moderne. Non solo vi aiuta a capire come utilizzate e raccogliete le informazioni, ma vi aiuta anche a rimanere conformi al GDPR. Sebbene la mappatura dei dati presenti delle difficoltà, è utile per la sua utilità diretta e per la sua capacità di focalizzare l'attenzione sui rischi per la privacy e sulle falle nella sicurezza.
Migliori pratiche di mappatura dei dati
Durante la gestione del processo di mappatura, può essere facile perdere di vista il quadro generale. Seguire alcune best practice di mappatura dei dati vi aiuterà a tenere sotto controllo il processo e a ridurre al minimo il numero di revisioni da effettuare.
Scegliete gli strumenti
Prima di iniziare a raccogliere informazioni, è necessario decidere come mappare i dati. Impostando in anticipo gli strumenti e le risorse, è più facile mappare in modo efficiente i processi dei dati.
La soluzione scelta varia a seconda della quantità di dati elaborati dall'azienda e del tipo di dati raccolti.
Si può iniziare utilizzando un semplice foglio di calcolo, tuttavia, se si sta mappando un'organizzazione di grandi dimensioni o se si sa di raccogliere un'ampia varietà di dati. In questo caso, sarebbe meglio lavorare fin dall'inizio con uno strumento di mappatura dei dati dedicato, come DPOrganizer:
Identificare chiaramente le fonti e le tipologie di dati
Lo scopo della mappatura dei dati è quello di identificare con precisione ogni aspetto dei vostri processi di dati. Ciò significa avere ben chiaro da dove provengono i dati e che tipo di informazioni sono.
La mappa dei dati deve rispondere a domande quali:
- Avete raccolto le informazioni direttamente dal cliente o da terzi?
- Il cliente è consapevole che avete raccolto i suoi dati?
- Che tipo di dati avete raccolto? Ad esempio, si tratta di un nome, di un indirizzo IP, di un indirizzo e-mail, di un numero di telefono, di una posizione fisica o di un'altra informazione identificativa?
Più si riesce a essere specifici, più la mappa dei dati sarà accurata.
Mantenere sicuro il processo di mappatura
Quando si esegue la mappatura dei dati, spesso si interagisce direttamente con i dati privati che si sta lavorando per proteggere. Pertanto, è necessario che il processo di mappatura sia sicuro come qualsiasi altra attività di elaborazione dei dati.
Dopo tutto, la vostra mappa dei dati spiega esattamente come proteggete i dati dei consumatori, il che potenzialmente fornisce agli agenti malintenzionati le informazioni necessarie per sovvertire le vostre misure di sicurezza.
Gli strumenti di mappatura dei dati devono essere protetti come le informazioni più sicure che conservate. Ad esempio, solo le persone autorizzate devono poter accedere alla mappa o aggiornarla in qualsiasi modo: in questo modo la mappa è al sicuro da occhi indiscreti.
Eseguire aggiornamenti periodici
l'azienda cambia e anche i dati raccolti cambiano. Pertanto, è considerata una buona pratica aggiornare la mappa dei dati almeno trimestralmente, se non mensilmente o addirittura settimanalmente. Più spesso si effettuano gli aggiornamenti, meno è probabile che falle nella privacy o attività non conformi passino inosservate e causino problemi legali.
Conservare i record
La vostra mappa non è sufficiente da sola a fornire la prova di come gestite i dati dei clienti. Oltre alla mappa, dovreste conservare anche i documenti previsti dall'articolo 30, paragrafi 1 e 2, del GDPR che spiegano come trasferite i dati all'interno della vostra azienda e ai fornitori esterni.
Questi registri devono includere:
- Il responsabile specifico del trattamento responsabile del trasferimento, con i relativi dati di contatto
- A chi sono stati trasferiti i dati
- Perché e come è stato trasferito
- Come entrare in contatto con la parte interessata
- Misure di sicurezza per il trasferimento
- Una descrizione dei dati trasmessi
- Quando è prevista la cancellazione dei dati
Conservando questi registri, potete dimostrare che le vostre mappe sono accurate e fornire ulteriori risorse se siete soggetti a un audit GDPR .
Esempi di mappatura dei dati
Non esiste un formato o un processo unico per la mappatura dei dati. Al contrario, possono presentarsi in forme diverse, attraverso vari mezzi di esecuzione e in un'ampia gamma di dimensioni e profondità.
l'aspetto della vostra mappa dei dati dipenderà principalmente dalle vostre attività di elaborazione dei dati e dal vostro budget.
Se la vostra azienda raccoglie, elabora o condivide molti dati, potreste voler investire in un software dedicato alla mappatura dei dati. Con il software di mappatura dei dati, probabilmente lavorerete con una dashboard, attraverso la quale potrete navigare nell'inventario dei dati, nel diagramma di flusso, nei dettagli della posizione e nelle analisi.
Alcuni programmi sono più avanzati dal punto di vista tecnico e devono essere supervisionati dal personale competente. Si pensi, ad esempio, ai seguenti esempi:
Alcune soluzioni CRM dispongono di funzionalità di mappatura dei dati, per cui potreste prendere due piccioni con una fava scegliendo il CRM giusto per la vostra azienda.
Se preferite creare la vostra mappa dei dati al di fuori di un servizio software dedicato, molto probabilmente vi ritroverete con un documento, un foglio di calcolo o una mappa (o tutti e tre) che illustrano la gestione dei dati.
Di seguito è riportato un esempio di grafico di mappatura dei dati nella sua forma più semplice:
di Anthony Budd
Lo stile di mappa sopra descritto può essere realizzato come documento o foglio di calcolo ed è ideale per le aziende che non raccolgono, elaborano o trasferiscono grandi quantità di dati. Questa soluzione richiede l'inserimento manuale di tutti i dati e non è molto dettagliata.
Per le attività di dati più complesse, la creazione di una mappa interattiva di Excel è una buona opzione. Si tratta di una soluzione scalabile che richiede comunque l'inserimento manuale, ma che offre maggiori possibilità di tracciare e visualizzare i processi dei dati.
Di seguito è riportato un esempio di come potrebbe apparire una mappa dati interattiva in Excel:
Provate questa guida passo passo per creare mappe interattive di Excel come quella qui sopra.
Questi sono solo alcuni dei molti esempi di come può apparire una mappa di dati. La vostra può essere una di queste o una combinazione di esse.
La parte critica della mappatura dei dati è che il risultato contenga tutte le informazioni necessarie sulle attività di trattamento dei dati.
Perché la mappatura dei dati è importante per la conformità al GDPR
Il GDPR prevede l'aggiornamento dei sistemi esistenti e l'implementazione di nuovi per garantire la custodia e il trattamento equo dei dati degli utenti che gestite. Ma per valutare correttamente la sicurezza dei dati, è necessario essere in grado di tracciare un dato dal punto di raccolta fino alla sua eventuale cancellazione.
Senza una visione a volo d'uccello dell'intero ciclo di vita dei vostri dati, qualsiasi misura di sicurezza implementata sarà nel migliore dei casi frammentaria.
La mappatura dei dati non solo è una base essenziale per realizzare gli obiettivi generali del GDPR, ma è anche direttamente richiesta da diversi articoli del regolamento. Ciò significa che siete obbligati per legge a eseguire regolarmente la mappatura dei dati per rimanere in conformità con la legge.
Ecco i motivi per cui la mappatura dei dati aiuterà la vostra azienda a conformarsi al GDPR.
Motivo n. 1: Conservare i registri delle attività di trattamento (articolo 30)
l'articolo più importante relativo ai requisiti di mappatura dei dati GDPR è l'articolo 30GDPR , intitolato "Registri delle attività di trattamento". Questo articolo è il più diretto responsabile dell'obbligo di mappatura dei dati da parte delle organizzazioni.
Il regolamento stabilisce che:
- Ogni responsabile del trattamento e, se del caso, il rappresentante del responsabile del trattamento manterrà un registro delle attività di trattamento sotto la sua responsabilità.
- Ciascun incaricato del trattamento e, se del caso, il suo rappresentante, conserva un registro di tutte le categorie di attività di trattamento svolte per conto di un responsabile del trattamento.
- Le registrazioni...devono essere scritte, anche in forma elettronica.
- Il responsabile del trattamento o l'incaricato del trattamento...mette il registro a disposizione dell'autorità di vigilanza su richiesta.
Gli obblighi di cui sopra non si applicano a un'impresa o a un'organizzazione che impiega meno di 250 persone, a meno che:
- Il trattamento che effettua può comportare un rischio per i diritti e le libertà degli interessati.
- l'elaborazione non è occasionale
- Il trattamento comprende categorie particolari di dati di cui all'articolo 9, paragrafo 1, o dati personali relativi a condanne penali e a reati di cui all'articolo 10.
In sostanza, questo articolo del regolamento impone alle imprese di mappare i propri dati e di metterli a disposizione degli organi di vigilanza su richiesta.
Motivo n. 2: Eseguire la DPIA (articolo 35)
Ai sensi dell'articolo 35 del GDPR, se trattate i dati utilizzando nuove tecnologie o in modo da mettere potenzialmente a rischio i diritti e i dati dei consumatori, siete tenuti a eseguire una valutazione d'impatto sulla protezione dei dati (DPIA).
Una DPIA, secondo la definizione dell'Information Commissioner's Office (ICO) del Regno Unito, è:
"...un processo progettato per aiutarvi ad analizzare, identificare e minimizzare sistematicamente i rischi di protezione dei dati di un progetto o di un piano".
Secondo IT Governance, la realizzazione di una DPIA richiede le seguenti sei fasi:
- Identificare la necessità della DPIA
- Descrivere il flusso di informazioni
- Identificare la privacy e i rischi correlati
- Identificare e valutare le soluzioni per la privacy
- Firmare e registrare gli esiti della DPIA
- Integrare i risultati della DPIA nel piano di progetto.
Le fasi 2 e 3 di questo piano DPIA sono direttamente collegate alla mappatura dei dati. La fase 2 è la mappatura dei dati in sé, mentre la fase 3 è una componente essenziale per creare una mappa dei dati utile.
Se dovete effettuare una DPIA, il fatto di avere questi passaggi critici già realizzati grazie alle vostre attività di mappatura dei dati semplificherà e accelererà il processo per voi o per il vostro DPO.
Quando eseguite la DPIA, non dimenticate di consultare il vostro ufficio per la protezione dei dati (DPO).
Motivo n. 3: Dimostrare la tutela della privacy attraverso la progettazione (articolo 5)
l'obiettivo fondamentale del GDPR è proteggere i dati degli utenti stabilendo linee guida più severe per la raccolta e il trattamento delle informazioni personali. Nell'articolo 5 del GDPR, il regolamento specifica i principi chiave del trattamento dei dati, che le aziende devono seguire per raggiungere questo obiettivo finale.
Tra questi principi c'è l'idea di Privacy by Design (PbD) - l'idea che le misure di protezione dei dati e della privacy debbano essere integrate in ogni elemento della vostra attività come un elemento essenziale e non come un ripensamento.
Secondo il testo stesso del GDPR , è necessario garantire che i dati personali siano:
"trattati in modo da garantire un'adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, utilizzando misure tecniche o organizzative adeguate (›integrità e riservatezza›)."
La gestione dei dati e l'analisi dei processi per individuare i punti deboli attraverso la mappatura dei dati sono passi fondamentali per implementare il PbD e garantire la sicurezza dei dati degli utenti.
Motivo n. 4: Stabilire la base legale del trattamento (articolo 6)
Ai sensi dell'articolo 6 del GDPR, affinché il trattamento dei dati sia lecito, deve essere effettuato su una o più delle sei basi seguenti:
- Con il consensoGDPR dell'interessato
- Per gli interessi legittimiGDPR
- Per l'esecuzione di un contratto
- Per adempiere a un obbligo legale
- Per proteggere gli interessi vitali dell'interessato
- Per l'interesse pubblico
Nel costruire la vostra mappa dei dati, dovreste annotare le finalità per cui raccogliete o elaborate i dati, insieme alla giustificazione legale di tali attività.
Ad esempio, se raccogliete gli indirizzi e-mail degli utenti che si iscrivono per ricevere le newsletter, potete registrare questa categoria di dati insieme alla nota che si basa sul consenso dell'utente.
Passare al setaccio i vostri dati e determinare quale base si applica a ciascuna delle vostre attività di trattamento vi assicurerà che non stiate inavvertitamente raccogliendo o trattando dati in modo illegale. Questo processo può proteggervi nel caso di un'inchiesta sulla privacy e aiutarvi a raggiungere il prossimo obiettivo di conformità al GDPR della nostra lista.
Motivo n. 5: Pratiche di dettaglio sui dati (articolo 12)
L›articolo 12 del GDPR stabilisce l'obbligo per le aziende di presentare ai propri utenti delle informative sulla privacy chiare e complete, dette anche informative sulla privacy. Queste politiche devono descrivere in modo dettagliato le interazioni con i dati degli utenti, compresi i dati raccolti, i motivi per cui vengono raccolti, le modalità di archiviazione, i luoghi in cui possono essere trasferiti e altri dettagli relativi alla raccolta e alla circolazione dei dati personali degli utenti.
Per assemblare questo documento - e renderlo conforme al GDPR - è necessario avere una solida conoscenza dei dati che passano attraverso la vostra azienda. Con una mappa completa dei dati, diventa molto più facile trascrivere queste informazioni in un'informativa sulla privacy di facile consultazione.
Se non siete sicuri di come rendere la vostra informativa sulla privacy conforme al GDPR, utilizzate il nostro generatore di informativa sulla privacy. Se preferite crearne una vostra, potete iniziare con un modello di informativa sulla privacy per assicurarvi di non trascurare nessuna sezione necessaria.
Motivo n. 6: Gestire le richieste di accesso ai dati (articoli 15-18, 20-21)
Il GDPR si impegna a garantire agli utenti di Internet nuovi diritti sui loro dati. Alcuni dei principali nuovi diritti derivano dagli articoli 15-18 e 20-21 del GDPR, che stabiliscono:
- Articolo 15: Diritto di accesso
- Articolo 16: Diritto di rettifica
- Articolo 17: diritto alla cancellazione, noto anche come diritto all'oblio.
- Articolo 18: Diritto alla limitazione del trattamento dei dati
- Articolo 20: Diritto alla portabilità dei dati, noto anche come diritto al trasferimento dei dati.
- Articolo 21: Diritto di opporsi al trattamento dei dati
Queste sono tutte componenti della missione del GDPRdi garantire agli utenti un maggiore controllo sui propri dati. Per essere conformi a questa sezione del regolamento, le aziende devono consentire agli utenti di esercitare questi diritti.
Il modo più comune per farlo è offrire agli utenti un modulo di richiesta di accesso ai dati (Data Subject Access Request, DSAR) - un popup o una pagina che consente agli utenti di richiedere l'accesso, la modifica, il trasferimento o la cancellazione dei propri dati personali.
Offrire agli utenti un modulo DSAR per esercitare i loro diritti è una cosa, ma il vostro lavoro non è finito finché le richieste non sono state soddisfatte. Inoltre, l'organizzazione dei dati è ancora più essenziale in caso di richieste di DSAR, poiché il GDPR prevede un termine di un mese entro il quale le aziende devono rispondere a queste richieste.
Senza un registro facilmente accessibile e ben organizzato dei dati raccolti ed elaborati per ciascun utente, insieme alle motivazioni alla base di ogni attività di elaborazione, rispondere a ogni DSAR può richiedere tempo e denaro. In questo caso, una mappa dei dati può contribuire ad alleviare l'onere di dover cercare tutti i dati raccolti da un utente.
Se avete già mappato i vostri dati e potete accedere facilmente alle informazioni richieste e ai dettagli di accompagnamento, potrete agire in modo rapido e semplice se vi arriva un DSAR.
Dopo aver appreso perché la mappatura dei dati è importante e quali vantaggi offre alla vostra organizzazione, è il momento di scoprire come creare una mappa dei dati.
Anche se la mappa di ogni organizzazione avrà un aspetto diverso, il processo fondamentale rimane lo stesso. Di seguito vi illustreremo come eseguire la mappatura dei dati, alcune best practice ed esempi di mappatura dei dati e la scelta degli strumenti per semplificare il processo.
Come fare: esercitazione sulla mappatura dei dati per il GDPR
La mappatura dei dati in conformità al GDPR è un processo complesso. Tuttavia, farlo bene la prima volta può aiutarvi a risparmiare tempo e fatica nel lungo periodo. Di seguito, scoprirete il processo di generazione di una mappa dei dati passo dopo passo e cosa dovreste includere.
Processo di mappatura dei dati GDPR passo dopo passo
Il processo di mappatura dei dati può essere confuso. La suddivisione in singole fasi può aiutare a capire cosa è necessario fare. Il processo di base della mappatura dei dati può essere suddiviso in sei fasi, ognuna delle quali consente di rendere le mappe più accurate.
1. Raccolta dei dati Sedi di elaborazione
Per creare la mappa di base è necessario capire dove si lavora con i dati. A tal fine, chiedete a tutti i membri dell'organizzazione di spiegare le elaborazioni dei dati che eseguono.
Se il personale non capisce cosa fornire, è possibile suddividere il problema in due domande:
- Quali sono i vostri compiti quotidiani, mensili e annuali?
- Quali sono le metriche e i KPI che monitorate o con cui interagite?
La prima volta che si esegue una mappatura dei dati, è probabile che si debba dedicare un po' di tempo a vagliare queste risposte per trovare quelle che si riferiscono ai dati.
Tuttavia, in combinazione, queste domande vi forniranno una panoramica completa di tutte le informazioni con cui il vostro personale interagisce in qualsiasi modo.
2. Raccogliere dettagli specifici
Una volta identificate le attività di trattamento dei dati, è possibile raccogliere ulteriori informazioni su ciascuna di esse. Questa fase è il momento di conoscere gli aspetti regolamentati dal GDPR, quali:
- Raccolta dei dati: Include lo scopo, la fonte, la base legale, l'ubicazione e il consenso per i dati raccolti.
- Utilizzo dei dati: Perché e come vengono utilizzate le informazioni.
- Conservazione dei dati: Le misure di sicurezza, le condizioni, il formato e la durata della conservazione dei dati.
- Trasferimento dei dati: I luoghi e le parti a cui i dati vengono trasferiti, lo scopo del trasferimento e le misure di sicurezza relative al trasferimento.
Una solida conoscenza dell'interrogazione dei database può essere particolarmente utile in questa fase. l'apprendimento delle competenze di base di SQL può migliorare significativamente la capacità di interrogare e analizzare in modo efficiente i punti di dati, semplificando in ultima analisi il processo di mappatura dei dati per la conformità al GDPR .
Se raccogliete queste informazioni manualmente, il modo migliore per organizzarle è un foglio di calcolo. Questo vi aiuterà a tenere traccia di ogni dato e renderà più facile incrociare i dettagli in seguito.
Ad esempio, il seguente foglio di calcolo mostra come si potrebbe organizzare una semplice mappa dei dati utilizzando il tracker di responsabilità dell'ICO del Regno Unito.
3. Collegare i processi dei dati e le parti responsabili
Una volta raccolte tutte queste informazioni, potete costruire la vostra mappa.
Il metodo più semplice consiste nel caricare i dati raccolti in un foglio di calcolo per creare una mappa di dati. Tuttavia, esistono strumenti per la creazione di mappe di dati che possono accettare vari input e organizzarli per voi.
Nel prosieguo di questa guida, si approfondirà la scelta dei giusti strumenti di mappatura dei dati.
Se si sta sviluppando una mappa grafica, è possibile strutturare ogni parte responsabile come un hub, con i trasferimenti di dati che li collegano. I processi di utilizzo e archiviazione dei dati possono essere raggruppati sotto ogni hub. Il risultato dovrebbe essere una rappresentazione visiva chiara e facilmente leggibile di come l'organizzazione utilizza le informazioni.
4. Cercare le lacune
Una volta che tutto è disposto davanti a voi in un formato di facile lettura, potete iniziare a cercare le lacune, ad esempio:
- Luoghi in cui non si dispone di tutte le informazioni necessarie per determinare se si è in regola con la normativa
- Processi di dati non conformi
- Trasferimenti mancanti
- Parti responsabili mancanti
- Processi vaghi, imprecisi o conflittuali
Queste lacune sono i punti da affrontare per rendere la vostra mappa accurata e le vostre pratiche sulla privacy conformi al GDPR. Poi, quando le individuate, potete fare indagini più approfondite per capire cosa vi manca e apportare i miglioramenti necessari.
5. Generare rapporti
La mappa dei dati è essenziale per la creazione di rapporti legali. In particolare, la mappa completa dei dati vi servirà per creare il vostro rapporto ROPA articolo 30. La mappa può essere utilizzata anche per creare visualizzazioni di asset, diagrammi di flusso dei dati e mappe di trasferimento transfrontaliero dei dati.
6. Ripetere e mantenere
Dopo aver completato il processo, è il momento di tornare all'inizio. È buona norma aggiornare le mappe dei dati almeno una volta al trimestre per evitare che diventino troppo obsolete.
La rimappatura regolare dei dati consente di basarsi su mappe generalmente accurate e di apportare piccoli aggiornamenti, invece di dover ricominciare ogni volta da zero. Questa manutenzione garantisce una comprensione ragionevole dei processi dei dati, nel caso in cui sia necessario produrre documentazione in merito.
Cosa contiene una mappa di dati?
Anche se ogni mappa dei dati sarà diversa, è necessario includere i dettagli di base delle informazioni che si stanno raccogliendo. Questi dettagli includono:
- Tipo: Che tipo di dati state raccogliendo? Ad esempio, state raccogliendo nomi, dati sulla posizione, indirizzi IP, altre informazioni identificabili o solo dettagli sull'utilizzo del sito come i link cliccati?
- Sensibilità dei dati: L ›articolo 4 del GDPR specifica che i dati personali sono qualsiasi tipo di informazione direttamente collegata a una persona fisica identificabile. Se i dati raccolti possono essere ricondotti a una persona specifica, sono considerati personali e soggetti al GDPR.
- Fonte dei dati: Come raccogliete i dati? Li raccogliete direttamente dai visitatori o li compilate da fonti esterne? È necessario specificare le fonti nella mappa dei dati.
- Scopo della raccolta: Il GDPR consente di raccogliere dati solo per un numero limitato di scopi. Chiarire perché state raccogliendo ogni informazione nella vostra mappa dei dati può aiutarvi a capire meglio se siete conformi al regolamento.
- Utilizzo dei dati: Per cosa utilizzate le informazioni dei clienti? Queste informazioni sono fondamentali per gestire correttamente l'articolo 30 e le informative ai consumatori.
- Periodo di conservazione: La conservazione dei dati è strettamente limitata dal GDPR a seconda del tipo di dati in questione. La definizione del periodo di conservazione vi aiuterà a capire se state conservando i dati troppo a lungo.
- Luogo e condizioni di archiviazione: Dove vengono archiviati i dati? Sono conservati in loco o in un centro dati esterno? Vengono mai convertiti in formato cartaceo? È necessario sapere come vengono archiviati i dati se si vuole gestirli correttamente.
- Tutte le destinazioni di trasferimento dei dati: È probabile che trasferiate dati sia internamente che esternamente durante il normale svolgimento dell'attività. Tracciate esattamente dove viene inviato ogni dato per costruire le connessioni della vostra mappa.
- Sedi dei fornitori esterni che ricevono i dati: Se trasferite i dati a fornitori esterni o a sedi internazionali, in quale parte del mondo si trovano questi fornitori? I fornitori al di fuori dell'UE non sono tenuti a rispettare gli stessi standard delle aziende dell'UE e questo può rendere i dati dei consumatori meno sicuri.
- Protocolli di trasferimento dei dati a fornitori esterni: Come viene completato il trasferimento quando trasferite le informazioni? Quali protocolli di sicurezza sono in atto? La sicurezza è essenziale per dimostrare la corretta protezione dei dati dei consumatori nella documentazione ex articolo 30.
Seguire un diagramma di mappatura dei dati come questo su Github può aiutare ad assicurarsi di aver incluso tutti i dettagli appropriati. Inoltre, offre un semplice tutorial sulla mappatura dei dati che vi aiuterà a seguire il processo.
Tecniche di mappatura dei dati
Esistono due tipi principali di tecniche di mappatura dei dati: la mappatura manuale e quella automatizzata. Queste tecniche sono adatte a casi d'uso diversi.
La scelta di quello giusto vi aiuterà a ottenere la mappa dei dati più accurata possibile senza sforare il budget o perdere tempo.
Mappatura manuale dei dati
Se non avete mai generato una mappa dei dati, la mappatura manuale dei dati potrebbe essere la soluzione giusta. Quando si esegue la mappatura manuale dei dati, si raccolgono tutte le informazioni sui dati elaborati a mano e si inseriscono una alla volta in un foglio di calcolo.
Una volta raccolti tutti i dettagli rilevanti, è possibile utilizzare questo foglio di calcolo per creare una rappresentazione visiva di tutte le parti responsabili, i trasferimenti di dati e le attività di elaborazione coinvolte nella vostra organizzazione.
La mappatura manuale dei dati può diventare rapidamente dispendiosa in termini di tempo con l'aumentare della quantità di dati elaborati dall'azienda. Tuttavia, se si gestisce solo una piccola quantità di dati e non si lavora con molti fornitori esterni, è anche una tecnica che richiede meno risorse. Tutto ciò che serve è un foglio di calcolo e un programma di grafica di base, come Microsoft Excel e i diagrammi di flusso offerti da Microsoft Word.
Mappatura automatica dei dati
l'alternativa è utilizzare uno strumento di mappatura dei dati dedicato che automatizzi il processo. La maggior parte dei programmi di mappatura dei dati analizza i sistemi aziendali per cercare tutte le fonti di dati, le informazioni memorizzate e i dettagli relativi a tali informazioni. Quindi compilano queste informazioni in una mappa generata automaticamente che copre tutti i dettagli del trattamento dei dati.
Tutto ciò che dovete fare è esaminare i risultati del programma e perfezionare aspetti come i nomi assegnati alle parti responsabili e i processi dei dati.
La mappatura automatica dei dati richiede più risorse, ma è anche più veloce e più accurata per la maggior parte delle grandi organizzazioni.
Dovrete assicurarvi che lo strumento sia sicuro e probabilmente dovrete pagare per utilizzarlo. In cambio, però, ridurrete al minimo il tempo da dedicare alla stesura dei sondaggi, alla raccolta delle risposte e all'inserimento manuale dei dati, ottenendo una mappa con meno errori umani.
Utilizzo di uno strumento di mappatura dei dati
Gli strumenti utilizzati per eseguire la mappatura dei dati influiscono su tutte le fasi del processo. Anche se è possibile eseguire la mappatura dei dati a mano, non è pratico per la maggior parte delle grandi organizzazioni.
La soluzione è utilizzare uno strumento di mappatura dei dati per gestire i dettagli più fini.
Con il software di mappatura dei dati, la responsabilità di unire i puntini ricade sul computer. È sufficiente proteggere il programma, dargli le autorizzazioni appropriate per la scansione dei sistemi e scegliere la formattazione della mappa.
Come può essere utile il giusto strumento di mappatura dei dati
La scelta del giusto strumento di mappatura dei dati può fare la differenza per quanto riguarda la rapidità e l'accuratezza della produzione delle mappe di dati. Quando si lavora con lo strumento giusto, si possono ottenere vantaggi quali:
- Analisi dei dati semplificata: Nella mappa dei dati è necessario tenere traccia dei dati provenienti da decine o addirittura centinaia di fonti diverse. Questi dati appariranno in molti formati diversi che devono essere riconciliati in un'unica mappa. Un buon strumento di mappatura dei dati gestirà la trasformazione di questi dati e snellirà il processo di analisi, assicurando che tutto sia accuratamente compilato in un'unica fonte.
- Migliore trasparenza: Lo scopo di una mappa dei dati è quello di chiarire le modalità di raccolta, utilizzo, archiviazione e invio delle informazioni. Un ottimo strumento di mappatura dei dati contribuirà a rendere più trasparente ogni fase del processo. I vostri analisti dovrebbero essere in grado di utilizzare lo strumento per controllare ogni fase del processo e confermare i dettagli di ciò che la mappa dei dati complessiva sta riportando. Questa trasparenza può aiutarvi a individuare errori, intoppi e potenziali rischi, mentre uno strumento più opaco non può farlo.
- Facilità di aggiornamento: La mappatura dei dati deve essere eseguita regolarmente. Un buon strumento semplifica l'esecuzione di aggiornamenti regolari delle mappe e tiene traccia delle modifiche apportate a ogni aggiornamento per capire come l'organizzazione sta migliorando. Dovrebbe anche aiutarvi a prevenire la perdita di dati, salvando le vecchie mappe e consentendovi di tornare alle versioni precedenti in caso di corruzione dei file o di errori.
Cosa cercare in un buon strumento di mappatura dei dati
Poiché la mappatura dei dati deve essere eseguita regolarmente, la scelta di un buon strumento vi farà risparmiare tempo e fatica. Ma, naturalmente, non tutti gli strumenti di mappatura dei dati sono ugualmente validi.
È necessario scegliere un software di mappatura dei dati di alta qualità, altrimenti si rischia di sprecare più risorse di quante se ne risparmino.
Ma come si presenta un buon strumento di mappatura dei dati GDPR ? Al momento della scelta, dovreste considerare elementi quali:
- Facilità d'uso: Qualsiasi strumento da utilizzare regolarmente deve essere intuitivo e facile da usare. I migliori strumenti di mappatura dei dati semplificano l'inserimento dei dati, la lettura dei risultati e la personalizzazione dell'esperienza. Ciò consente di gestire le normali esigenze di mappatura dei dati in meno tempo, ogni volta.
- Flessibilità: Gli strumenti migliori devono essere anche flessibili. È probabile che il programma debba funzionare con un'ampia gamma di formati di file quando si caricano le informazioni. Il programma di mappatura dei dati giusto per voi dovrebbe essere abbastanza flessibile da gestire i formati che utilizzate più spesso, che si tratti di file XML, JSON, Excel, SQL, SAP, SAS o Microsoft CRM.
- Automazione: I migliori strumenti di mappatura dei dati vi aiutano a non perdere tempo. Questi programmi offrono funzionalità di automazione per l'esecuzione di nuovi rapporti di mappatura dei dati. È possibile trovare programmi che eseguono automaticamente nuovi report in determinati giorni o dopo eventi specifici. Questi programmi rendono la mappatura dei dati quasi del tutto indipendente, snellendo il processo da giorni o settimane a poche ore.
Risorse per la mappatura dei dati
Per quanto riguarda la mappatura dei dati, sono disponibili online risorse sia gratuite che a pagamento.
Se state realizzando la mappa dei dati della vostra azienda internamente, senza un pacchetto software dedicato, ecco alcune fonti dove potete trovare documenti gratuiti e modelli di mappatura dei dati con excel per iniziare i vostri sforzi:
- Isle of Man Information Commissioner: qui troverete alcune utili guide sulla mappatura dei dati, insieme a fogli stampabili di modelli di documenti di mappatura dei dati che potrete compilare con le informazioni corrispondenti alla vostra azienda.
- Ufficio del Commissario per l'informazione del Regno Unito (ICO): l'ICO offre una guida dettagliata, che include liste di controllo e modelli di documentazione scaricabili sia per i responsabili del trattamento dei dati che per i titolari del trattamento.
- Strumento di mappatura dei dati IAPP: Sebbene questa risorsa sia tecnicamente gratuita, per accedervi è necessario essere soci IAPP. È possibile accedere a una demo gratuita dello strumento per verificare se l'iscrizione all'IAPP vale l'uso dello strumento.
- Libro verde sulla mappatura dei dati della governance IT: Qui è possibile trovare un libro verde gratuito sulla mappatura dei dati o accedere a uno dei loro strumenti di mappatura dei dati a pagamento.
- eBook sulla mappatura dei dati di Astera: In cambio dei vostri dati di contatto, potrete scaricare gratuitamente un ebook sui dettagli della mappatura dei dati di Astera.
- Pinterest: Forse non è il primo posto in cui si pensa di cercare, ma Pinterest ospita una serie di modelli gratuiti di flussi di dati, liste di controllo, fogli di calcolo e infografiche.
Se siete disposti a spendere un po' di soldi per la conformità al GDPR della vostra organizzazione, ecco alcuni strumenti a pagamento per la mappatura dei dati che possono aiutarvi:
- Audit del flusso di dati della governance IT
- Strumento di mappatura dei flussi di dati di Vigilant Software
- Mappatura dei dati Astera
Eseguire una migliore mappatura dei dati
Negli ultimi anni, il mondo ha risentito degli effetti del GDPR e dei cambiamenti degli standard di privacy che ne sono seguiti. La conformità a questa enorme normativa può sembrare un obiettivo irraggiungibile, ma affrontare il GDPR pezzo per pezzo aiuterà la vostra azienda ad adeguarsi agli standard di privacy in evoluzione e alle richieste dei clienti.
Uno dei passi più significativi che potete compiere per raggiungere questo obiettivo è la mappatura dei vostri dati. Non solo è un passo fondamentale verso la conformità al GDPR , ma è anche una buona pratica commerciale. Comprendere l'intersezione tra la mappatura dei dati e la conformità al GDPR e sfruttare gli strumenti e le risorse di cui sopra vi aiuterà a proteggere i dati dei vostri utenti e la vostra azienda.
Scritto da Hanna De La Garza
Hanna De La Garza è una scrittrice specializzata in privacy presso Termly una laurea in giornalismo presso l'Università della Florida. Crea risorse interessanti su privacy dei dati, gestione del consenso, aggiornamenti normativi e altro ancora.
Leggi tutti i post di Hanna De La Garza
Revisionato da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic è consulente legale e Direttore della Privacy Globale Termly, laureata in giurisprudenza presso l'Università di Belgrado. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD).
Leggi tutti i post revisionati da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
