Consulenza GDPR Privacy

Consulenza Privacy GDPR

Consulenza di accompagnamento verso l’adeguamento al GDPR 2016/679 rivolta a micro e piccole imprese
(come identificate da Raccomandazione 2003/361/CE)

1) RIUNIONE PRELIMINARE​

  • Riunione preliminare Direzione e Stakeholders, senza impegno.
  • Individuazione aree critiche in base agli obiettivi

2) ANALISI E MAPPATURA

  • Mappatura dei dati da trattare
  • Analisi dei rischi (Risk Assessment)
  • Valutazione d'Impatto Privacy (Privacy Impact Assessment)
  • Analisi delle lacune (Gap Analysis)

3) ROADMAP

  • Definizione Competenze e Ruoli (Funzionigramma)
  • Nomina del DPO (se necessaria)
  • Definizione delle priorità e delle azioni da intraprendere per la compliance
  • Definizione della documentazione da produrre

4) ATTUAZIONE

  • Esecuzione nomine (DPO, Responsabili, Incaricati)
  • Documentazione
  • Registro dei Trattamenti
  • Supervisione sugli interventi / Istruzioni operative per la sicurezza
  • Consulenza e Formazione

COSA E’ IL GDPR?

Il GDPR (Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016) è il nuovo regolamento in materia di privacy operativo in tutta Europa dal 25 maggio 2018 che ha introdotto maggiori tutele per le persone fisiche e maggiori responsabilità per le imprese.
E’ pienamente in vigore dal 25 Maggio 2018 ed è stato recepito a livello nazionale con il Decreto Legislativo 101/2018 in vigore dal 19 Settembre 2018 (Decreto che va ad adeguare il Codice PrivacyDecreto legislativo 30 giugno 2003, n. 196 alle nuove disposizioni).

Il GDPR ha introdotto sostanziali cambiamenti nel modo in cui i dati personali vengono raccolti, condivisi e utilizzati.
Per garantire la conformità (compliance) al GDPR, le aziende devono rivedere politiche, processi e contratti, nonché le misure tecniche e organizzative.
In alcuni casi, tali cambiamenti possono rivelarsi complessi e significativi. 

Hai bisogno di un consulente GDPR?

La compliance non si raggiunge spuntando dei semplici questionari,  la tua Azienda/Attività deve disporre di politiche e procedure conformi al GDPR ed essere in grado di rispondere rapidamente alle violazioni dei dati e alle richieste di accesso degli interessati.
Anche se potrebbe non essere necessario modificare le pratiche aziendali, è necessario essere in grado di dimostrare la conformità al Regolamento e il personale deve essere consapevole dei nuovi diritti degli interessati e dei fondamentali principi alla base del Regolamento.

Il GDPR richiede al Titolare una forte responsabilizzazione (Accountability) sul trattamento dei dati personali. Nel caso di inadempienza a quelli che sono i dettami del Regolamento si rischiano sanzioni che possono arrivare al 4% del fatturato dell’esercizio precedente.

Come posso aiutarti nell’adeguamento al GDPR?

In sintesi, questi sono i passi che affronteremo insieme:

Per prima cosa Vi illustrerò gli aspetti principali e generali del nuovo Regolamento, poi vedremo di fare una panoramica di quella che è la vostra Azienda o Attività e quindi vi fornirò una descrizione di ciò che è necessario fare per diventare conformi.
Questa consultazione iniziale conoscitiva è fornita gratuitamente e senza alcun impegno.

Tramite un sopralluogo tecnico e con l’aiuto di un questionario si analizzano tutte le attività effettuate che prevedono il trattamento di dati personali.

Ad esempio: Amministrazione del personale dipendente, Gestione Clienti (es.: titolari di account, clienti, alunni, detenuti, pazienti), Obblighi legali (es.: Antiriciclaggio, Antiterrorismo, Imposte, Permessi di lavoro), Fornitura di beni o servizi (Online o dal vivo), Attività di monitoraggio (es.: Videosorveglianza, Sistemi di riconoscimento automatico delle targhe, Indirizzi IP, Cookie, App), Attività di marketing diretto o per conto proprio o per conto terzi o creazione / vendita di elenchi di marketing, Attività di Profilazione.

Vengono presi in considerazione tutti i trattamenti di dati personali conservati in formato elettronico o contenuti in un sistema di archiviazione manuale strutturato.

In particolare, ma non esclusivamente, l’audit riguarderà i dati personali detenuti nei seguenti sistemi e formati: Banche dati informatiche; Sistemi di gestione dei documenti (compresi i documenti memorizzati in strutture di directory standard fornite da tali strutture come CFS), File di computer individuali, se del caso ad es. fogli di calcolo e altri strumenti di analisi, elenchi elaborati in Word; Directory e-mail strutturate; Sistemi di archiviazione manuali strutturati a cui è possibile fare riferimento singolarmente, ad es. File degli studenti, file dello staff, moduli dei dati del sondaggio, script di esame, grafici / elenchi delle vacanze, elenchi di pubblicazioni; Pagine web; Fotografie; Registrazioni video / audio; Campioni di tessuti.

Si analizza il gap, ovvero il “divario” presente tra l’attuale situazione aziendale e la situazione ideale di conformità al Regolamento, per poter predisporre un piano di azione, colmare le lacune e i ridurre i rischi.
In questa fase cercheremo di capire se sia necessario o consigliabile nominare un responsabile della protezione dei dati (DPO, nuova figura introdotta dal GDPR).

Sulla base delle informazioni raccolte, si procede alla creazione del registro delle attività di trattamento (previsto dall’Art. 30 del GDPR): un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza.

Si individuano i ruoli e le responsabilità dei soggetti che effettuano il trattamento, si elaborano le lettere di nomina dei responsabili del trattamento e degli incaricati del trattamento (e dell’eventuale amministratore di sistema), nonchè del DPO ove fosse necessario.

Si valutano e si vanno ad attuare (documentandole) tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
Questa fase è espressione, soprattutto, del principio di responsabilizzazione del Titolare (accountability).
Si redigono Istruzioni Operative.
Si analizza il processo di Data Breach (Violazione dei Dati): al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita.
Quando se ne dovesse presentare la necessità, si procederà ad una valutazione d’impatto sulla protezione dei dati personali al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi.

Si implementano procedure per l’esercizio dei diritti degli interessati come da articoli 15-22 del Regolamento.
Si compilano anche le dovute informative come da art. 13 e 14 del GDPR.

Responsabilità

L’attività di consulenza non prevede la redazione di pareri legali scritti e non costituisce un trasferimento di responsabilità verso il consulente. In base al GDPR, infatti, la responsabilità è esclusivamente in capo al Titolare ed al Responsabile del Trattamento che devono dimostrare, attraverso un documento di autovalutazione, di aver analizzato i rischi e adottato metodi adeguati per ridurli e potenzialmente annullarli.