La legge 675/96 sulla protezione dei dati personali è atipica, perché anche se consente la designazione di un responsabile del trattamento, obbliga il titolare a vigilare sul suo operato, senza possibilità do esimersi da questo compito. Egli deve verificare la corretta e costante applicazione delle istruzioni impartite, per soddisfare al preciso requisito di legge, che gli impone l'obbligo di vigilanza.

A mero titolo esemplificativo, e per facilitare al titolare ed al responsabile del trattamento l'assolvimento degli obblighi assunti od imposti, viene offerta di seguito una lista di controllo delle principali aree di tutela del trattamento dei dati personali.

Il responsabile ha attivato una politica di protezione dei dati?

Quale è la struttura di supporto che verifica e mantiene aggiornata questa politica?

Questa struttura ha risorse sufficienti?

Le procedure di tutela dei dati sono documentate formalmente e periodicamente riesaminate dai responsabili, e comprovate con documenti oggettivi (ad esempio con verbali di riunioni), che attestino la costante diligenza nello svolgimento dell'attività?

I responsabili, i quadri e gli incaricati in genere della azienda, ad ogni livello, conoscono le principali disposizioni della legge 675/96?

Come vengono affrontati e risolti eventuali problemi legati alla tutela dei dati?

Quale è il livello di efficienza della procedura che mantiene aggiornato il registro generale dei dati personali, e come viene controllato?

I rapporti contrattuali con sub fornitori tengono in particolare considerazione i requisiti della tutela dei dati personali?

Le persone incaricate della informativa e della raccolta del consenso sono state addestrate in modo specifico?

I moduli utilizzati per la raccolta del consenso e la informativa vengono riesaminati periodicamente?

Vengono effettuati controlli periodici sul comportamento delle persone addette alla informativa e raccolta di dati?

Viene effettuato un costante controllo circa la tipologia dei dati raccolti e la loro conformità ai limiti eventualmente presenti nella notificazione?

In fase di informativa, il personale addetto è in grado di informare con chiarezza l'interessato dei suoi diritti, oralmente o per iscritto?

Quali procedure vengono usate per informare l'interessato e raccogliere il suo consenso, in caso di variazione del trattamento o delle finalità del trattamento indicate nella notificazione?

Queste variazioni vengono registrate sul registro generale dei dati?

Il personale è al corrente del suo obbligo di tenere aggiornato il registro generale dei dati?

Il registro generale dei dati tiene conto anche di dati acquisiti non manualmente, ma ad esempio con scanner od altri mezzi?

Quali controlli vengono effettuati per accertarsi che la comunicazione e diffusione avvengano sempre nei limiti della notificazione?

Il personale è al corrente delle limitazioni che governano la comunicazione o diffusione, anche involontaria, di dati personali a terzi?

Il personale è addestrato a fronteggiare eventualmente eventuali richieste imperative di informazioni sui dati personali?

Quali accorgimenti vengono presi per essere certi che i dati siano adeguati, rilevanti e non eccessivi, nel contesto di ogni particolare trattamento indicato nella notificazione?

Esistono dati personali che sono conservati solo perché "potrebbero essere utili in futuro"?

Quali procedure sono in atto per controllare ad intervalli i dati personali e verificarne la idoneità, rilevanza ed aggiornamento?

Quali procedure sono in atto per separare le opinioni sugli interessati dai dati personali degli interessati?

Quali procedure sono in atto per rimuovere i dati personali non più necessari?

Vengono registrate le fonti da cui sono ricavati i dati personali?

Con che frequenza viene verificata la accuratezza dei dati personali?

Quali procedure sono in atto per verificare se i dati personali hanno bisogno di aggiornamento?

Esiste una procedura che permetta di stabilire il tipo e la gravità dei danni che possono essere causati da dati inaccurati o non aggiornati?

Esistono delle procedure che permettono di registrare la data in cui i dati personali sono stati acquisiti o prodotti?

Esistono delle procedure che permettono di verificare periodicamente se è appropriata la trasformazione in forma anonima di dati personali? virgin hair extensions

Quali sono le procedure in atto che consentono all'interessato di esercitare il diritto di accesso?

Quale è il livello di efficacia della procedura che consente di individuare tutti i dati personali richiesti dall'interessato?

Quali procedure sono in atto per accertarsi che non possano essere scambiati i dati personali di due diversi interessati?

Quali procedure sono presenti per impedire di comunicare all'interessato opinioni, anziché i soli dati personali di suo interesse?

Chi è responsabile per fornire spiegazioni scritte all'interessato?

Chi è responsabile per il rispetto del dettato di legge, che prevede una sollecita risposta?

Quali sono le procedure che permettono di incassare il contributo spese, quando appropriato?

Con quali modalità viene verificata la validità della delega rilasciata dall'interessato?

Tutte le attrezzature destinate alla raccolta, trattamento e conservazione di dati sono racchiuse in siti protetti e di esse è nota la ubicazione?

Come viene protetto l'accesso agli edifici ove si trovano queste attrezzature?

Esiste un regolare contratto di manutenzione per i sistemi di sicurezza antintrusione?

Esistono dei contenitori sicuri, in numero e distribuzione appropriati, a disposizione degli incaricati per la custodia anche temporanea dei dati personali, sotto qualunque forma (cartacea, magnetica, ecc.)?

Esiste una politica di gestione e controllo delle chiavi di sicurezza dei contenitori sicuri, del sito del trattamento ed in genere di tutti i luoghi e contenitori ove possono trovarsi dati personali?

Come vengono usati, archiviati e cancellati i supporti magnetici?

Come vengono usati, archiviati e cancellati i supporti cartacei?

Come viene controllato l'accesso ai documenti, ai programmi ed i dati personali, per esser certi di limitare l'accesso ai soli incaricati?

Vengono utilizzate speciali procedure per l'accesso ai dati particolari?

Sono state valutate le implicazioni di sicurezza che scaturiscono dai collegamenti in rete?

Come viene controllata la sicurezza del software?

Come viene gestita la concessione e l'aggiornamento dei password?

Come viene determinato ed aggiornato il profilo dei privilegi di accesso logico degli incaricati?

Con che frequenza, efficacia ed incisività svolge la sua azione il responsabile del controllo dell'accesso logico?

Viene effettuato un controllo costante sui tentativi di violazione e sulle violazioni dell'accesso?

Vengono effettuate ad intervalli regolari copie di sicurezza di programmi e dati personali?

Esiste ed è aggiornato e controllato un piano di disaster recovery, per fronteggiare situazioni di emergenza?

Dove vengono conservati i documenti e supporti di input output?

Come vengono distribuiti in supporti di input output?

Come vengono eliminati i supporti input output?

Dove è conservata la documentazione significativa originale?

Come è controllato l'accesso a questa documentazione?

Come viene eliminata questa documentazione?

I dati personali vengono riversati su copie di sicurezza e queste vengono trasportate regolarmente in un sito sicuro?

Quali procedure esistono per fronteggiare danni da incendio, allagamento ed altre cause naturali o dolose, incluso il ritorno a procedure manuali?

Quali procedure sono disponibili per fronteggiare incidenti di minor gravità, come ad esempio la perdita dei dati personali, la temporanea indisponibilità della rete, la correzione dei dati personali e simili?

Quali precauzioni sono prese per prevenire cancellazioni accidentali dei dati?

I dipendenti sono sensibilizzati sulle problematiche di sicurezza?

I dipendenti ricevono regolarmente una formazione operativa in temi di sicurezza?

Solo state distribuite delle linee guida di sicurezza a tutti i dipendenti?

Con che frequenza viene esaminata la situazione della sicurezza del trattamento dei dati da parte della direzione?

Come viene valutato il livello di integrità ed affidabilità dei dipendenti, prima di affidare loro attività che comportano l'accesso a dati personali?

Come vengono gestiti i contratti con aziende esterne, per quanto riguarda le prescrizioni relative al trattamento o conoscenza o diffusione dei dati personali?

Viene introdotta in ogni contratto con terzi collaboratori un specifica clausola di riservatezza?