Dal 25 maggio 2018 è entrato in vigore il General Data Protection Regulation GDPR o Regolamento Generale per la Protezione dei Dati RGPD, UE 2016/679, che stabilisce le norme relative al trattamento dei dati personali e alla loro circolazione. Il GDPR impone al soggetto Titolare del trattamento ad assumersi la responsabilità sui rischi derivanti le violazioni dei dati personali, e a esercitare e garantire i diritti degli interessati ovvero le persone fisiche identificate o identificabili.
Il regolamento europeo GDPR EU 679/16, si applica a tutte le attività (Società pubbliche e private, Professionisti, Studi professionali, Pubbliche Amministrazioni, Associazioni, Cooperative, attività sanitarie, di produzione, commerciali, di servizi, sportive, religiose etc. di ogni settore e dimensione), presenti ed operanti nell’Unione Europea. Il GDPR è in vigore e pienamente applicabile a partire dal 25 maggio 2018.
(DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679 (“Regolamento”), in conformità agli articoli 37, 38 e 39 del medesimo.
Assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali, garantendo il rispetto della privacy e protezione dei dati personali.
Collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie.
Indipendente dal Manager e dallo Specialista Privacy, esamina periodicamente il trattamento dei dati personali, valutando il rispetto alle normative applicabili e approva le misure per l’eliminazione di eventuali non conformità.
Per il supporto alla identificazione delle attività da svolgere e della documentazione da elaborare.
Il Rappresentante legale dell'attività risponde in prima persona sulla conformità dell'attività al Regolamento GDPR, rispondendo in solido per eventuali inosservanze riscontrate dall'organo di verifica. Pertanto occorre sia:
consapevole e sapere: quali dati trattare, dove si raccolgono i dati, di chi sono, come e perché vengono utilizzati
competente: significa fare l’analisi dei rischi e adottare le contromisure necessarie per proteggere i dati
responsabile: adottare tutti gli accorgimenti sia interni che ai soggetti esterni a cui vengono trasmessi i dati
Professionista Consulente legale con esperienza della normativa in materia di Privacy. Attività di assistenza e consulenza negli adempimenti sulla Privacy a soggetti, privati e pubblici, per la compliance alle normative vigenti.
Ingegnere elettronico con esperienza in sistemi, rete e sicurezza, dal 1983 con attività professionali presso aziende medio grandi e presso la pubblica amministrazione per l’analisi, la gestione e l’implementazione di sistemi e reti.
Professionisti con esperienze professionali decennali nel settore informatico di formazione del personale addetti al supporto operativo e affiancamento.
Software di supporto della elaborazione e documentazione relativa alla Privacy, a norma col Regolamento GDPR UE 2016/679 e dal D Lgs. 101/2018.
Valutazione preliminare (Assessment) dell’azienda in relazione alle istanze delle norme ed erogazione di seminari formativi sul regolamento.
Valutazione d’impatto sulla protezione dei dati (DPIA) per stabilire il rischio del trattamento e gli impatti sugli interessati, sui titolari e responsabili del trattamento.
Identificazione e analisi dei rischi relativi al trattamento dei dati personali nel corso delle attività dell’azienda e soluzioni di mitigazione congrue.
Verifica se l'attività sia o meno obbligata alla nomina del DPO. Se viene deciso di non nominare il DPO, la scelta deve essere motivata e messa per iscritto.
Individuazione dei trattamenti di dati personali effettuati dall’azienda e mappatura grafica. Occorre individuare chi siano i soggetti interessati, verificare la finalità ed i criteri di liceità dei trattamenti, ovvero le norme che li legittimano.
Stabilire quale sia il ruolo dell’impresa in relazione ad ogni singolo trattamento, ovvero se agisca in qualità di titolare, di responsabile o di contitolare.
Individuare la durata del trattamento (c.d. data retention) e verificare che corrisponda né più né meno a quella necessaria per adempiere alle finalità perseguite.
Individuare provenienza e destinazione dei dati, ovvero le modalità di raccolta e di conservazione e i destinatari a cui vengono comunicati.
Per poter tenere sotto controllo i dati ed effettuare delle analisi dei rischi, è necessario inventariare tutti gli strumenti con cui si effettuano trattamenti di dati personali.
L’inventario degli asset avrà ad oggetto i sistemi informatici collegati alla rete aziendale (computer dektop e laptop, tablet, smartphone, server, NAS, router etc.) ed i software utilizzati (ERP, CRM, servizi in Cloud etc.); siti web e pagine social; database ed archivi, anche cartacei.
Ciascun asset deve essere associato ai trattamenti che lo riguardano ed al personale che lo gestisce.
Mantenere un inventario degli asset sempre aggiornato permette all’azienda di individuare facilmente vulnerabilità che possono rappresentare delle fonti di rischio.
Con le informazioni assunte, viene redatto un registro dei trattamenti. Il registro dei trattamenti non è obbligatorio per le imprese con meno di 250 dipendenti e che non trattano dati personali con rischio elevato (art. 30 RGPD). Tuttavia, la redazione dei registri è consigliata in tutti i casi, poiché si tratta di documenti indispensabili per tenere sotto controllo i trattamenti e facilitano notevolmente le operazioni in caso di controlli.
Deve essere redatto un registro per i trattamenti svolti in qualità di titolare ed uno, eventuale, per i trattamenti svolti in qualità di responsabile.
Altri registri necessari all’adeguamento sono quello delle violazioni (o Data Breach) e quello relativo alle richieste di esercizio dei diritti da parte dagli interessati.
Per poter dimostrare di essere GDPR Compliant e gestire i dati in sicurezza, efficienza e nel rispetto dei diritti delle persone fisiche, occorre che l’azienda si dia delle regole interne da seguire.
Una delle procedure più importanti è quella finalizzata a riconoscere, gestire e notificare i Data Breach. Le violazioni sono infatti eventi frequenti anche se, spesso, non vengono individuate o riconosciute. La mancata o non tempestiva notifica di un Data Breach può innescare controlli e sanzioni, pertanto è necessario fare molta attenzione a questo punto.
Altre procedure importanti sono quella per la gestione delle richieste degli interessati, quella per l’utilizzo della strumentazione informatica, quella per il trattamento dei dati dei dipendenti, per la navigazione in Internet etc.
La messa a disposizione di informative agli interessati resta uno degli adempimenti fondamentali per soddisfare il requisito della trasparenza ed essere GDPR Compliant.
L’informativa deve essere un documento personalizzato con lo scopo di illustrare agli interessati, con parole semplici ed immediate, come vengono trattati i loro dati personali.
Devono essere redatte informative per i clienti, per i fornitori, per i dipendenti e per tutti gli interessati di cui l'attività tratta dati personali in qualità di titolare. Le informative devono poi essere messe a conoscenza degli interessati, ad esempio dedicare una pagina del proprio sito web alla privacy, inserendo al suo interno anche l’informativa. Questa risulta utile per dimostrare di essere conformi in caso di controlli da parte degli organi di verifica.
L’impresa è titolare o responsabile del trattamento ma, di fatto, i dati personali vengono poi trattati dai suoi dipendenti. Per questo è fondamentale creare un organigramma privacy ed assegnare ruoli e responsabilità. Ciascun dipendente deve essere autorizzato tramite documento controfirmato, a trattare solo ed esclusivamente i dati personali necessari a svolgere le sue mansioni. Ogni dipendente deve inoltre essere vincolato ad obblighi di riservatezza e di diligenza nell’esecuzione dei trattamenti.
Anche in questo caso, fermarsi alla consegna ed alla firma di un documento non è sufficiente. É necessario assicurarsi che il dipendente comprenda quali sono i suoi obblighi e li rispetti. A tal fine è indispensabile la formazione. Ciascun membro dell’organizzazione deve essere istruito sui propri obblighi e sulle procedure che l’azienda si è data.
Oltre alle informative le aziende ricevono da firmare i contratti per la designazione dei responsabili esterni del trattamento. In questo caso, è importante che l’imprenditore legga attentamente il contratto in modo da adeguarsi a quanto contrattualizzato per evitare sanzioni.
Un contratto è sempre fonte di obblighi giuridici e viene redatto dai nostri consulenti tramite piattaforma.
La scelta dei fornitori è fondamentale. Affidarsi ad un fornitore che non ci garantisce sicurezza o trasparenza sulla gestione dei dati, non solo quelli personali, è un rischio. Le responsabilità dei fornitori si riflettono in sanzioni anche per il titolare del trattamento. Inoltre, mettere nelle mani di un fornitore i dati aziendali è come mettere le sorti stesse dell'azienda.
L'adeguamento al GDPR è un processo continuo che segue la vita aziendale. Per continuare ad essere GDPR Compliant è richiesto un lavoro costante nel tempo, di aggiornamento e miglioramento continui.
La nostra piattaforma applicativa conserva la struttura e la documentazione e, pertanto, in caso di variazioni dei trattamenti, del personale o dei fornitori siamo in grado di aggiornare in tempo reale il GDPR e la relativa documentazione.
Pertanto il cliente può contare sul servizio di aggiornamento per mantenere aggiornati i registri dei trattamenti, rifare periodicamente l’analisi dei rischi, porre in essere gli adempimenti necessari a gestire i cambiamenti (nuove assunzioni, nuovi fornitori, nuovi servizi etc.).
Per attività rilevanti offriamo la consulenza per la produzione delle Policy aziendali, quali:
1 - Organizzazione aziendale Privacy
2 - Regolamento Utilizzo Sistemi ICT
3 - Data Breach
4 - Disaster recovery
5 - Business continuity
6 - Cyber Security
7 - Backup e Retention
8 - Attivazione utenze (User Access Life-cycle Management)
9 - Amministratore di sistema
© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925