Dopo la maturata esperienza dal 1998 sulla sicurezza informatica e dal 2003 sul Codice Unico in materia di protezione dei dati, siamo impegnati in prima linea ad affrontare tutte le novità introdotte dal Nuovo Regolamento UE 2016/679 sia attraverso i nostri consulenti che attraverso collaborazioni sinergiche con studi legali ed esperti IT. Seguiamo le aziende in questa nuova sfida attraverso audit mirati che permettono la redazione di documentazione altamente personalizzata e calata sulla realtà aziendale, che comportano la riorganizzazione dei processi aziendali e la riprogettazione del sistema informativo.
CI OCCUPIAMO DI CONSULENZA IN MATERIA DI:
- PRIVACY COMPLIANCE
- AUDIT DI VERIFICA
- RISK ASSESMENT
- DATA PROTECTION IMPACT ASSESMENT
- PIANO VARIAZIONI CORRETIVE
- MODELLI ORGANIZZATIVI SPECIFICI
- DATA PROTECTION OFFICER
TRATTAMENTI
Il consenso dell’interessato deve essere effettivo e inequivocabile. Può essere formulato, ad esempio, mediante dichiarazione scritta, anche attraverso mezzi elettronici, o verbale. Questo può avvenire anche mediante selezione di un’apposita casella in un sito web, ma non è consenso il silenzio assenso, l’inattività o la preselezione di caselle.
In casi specifici, come il ricorso a tecnologie a rischio per i diritti della persona, il trattamento deve essere testato con una valutazione d’impatto privacy, ed eventualmente con una consultazione preventiva del Garante della privacy.
Il Regolamento impone di progettare sistemi e applicativi, di regola tarati sul principio dell’uso minimo e indispensabile dei dati personali.
Si devono adottare ad esempio sistemi di pseudonimizzazione.
Il Regolamento impone di progettare misure e sistemi che abbiano come impostazione predefinita solo l’uso dei solo dati necessari per una certa finalità.
Sul titolare del trattamento incombe l’obbligo di effettuare l’analisi dei rischi e di vaglio della adeguatezza delle misure di tutela.
Utile l’adesione a sistemi di certificazione e a codici di condotta.
Si intende a tutti la regola della notifica di violazione dei dati personali al Garante e all’interessato (a quest’ultimo in caso di rischio elevato per i suoi diritti).
È una nuova figura di riferimento per imprese e P.A., per utenti e clienti ed è l’interfaccia per le Autorità garanti.
Nel settore privato dovrà essere nominato in caso di trattamenti di dati su larga scala o di monitoraggio sistematico degli interessati su larga scala.
Il titolare e il responsabile del trattamento devono redigere i registri di competenze in cui indicare le caratteristiche, modalità e finalità dei trattamenti.
Codici di autoregolamentazione e ricorso alle certificazioni dei trattamenti sono consigliati.
diritti
All’interessato viene riconosciuto il diritto di ottenere la restituzione dei propri dati personali trasmessi ad un’azienda o ad un servizio on line e trasmetterli ad altri (social network, fornitori di servizi internet, fornitori di streaming on line, ecc.).
Il Regolamento codifica il diritto dell’interessato di chiedere ai motori di ricerca di deindicizzare una pagina web o chiedere ad un sito web di cancellare informazioni.
Il Regolamento sancisce il diritto a non subire profilazioni (trattamenti automatizzati) inconsapevoli.
L’interessato può rivolgersi all’Autorità di protezione dei dati del proprio Paese per segnalare eventuali violazioni, qualunque sia il luogo in cui il trattamento è effettuato.
SANZIONI PECUNIARI AMMINISTRATIVE
Calcolate anche in misura percentuale (dal 2% al 4%) sul fatturato globale annuo mondiale.
AUTORITA’ DI CONTROLLO
L’Autorità pubblica indipendente istituita da uno Stato membro. Il Codice della Privacy italiano definisce il Garante per la protezione dei dati personali.
IL NOSTRO INTERVENTO SI ARTICOLA IN:
FASE PRE ASSESSMENT
- perimetro di analisi atto ad identificare la natura dei dati trattati, l’ambito di applicazione, il contesto e le finalità di trattamento;
- modello organizzativo aziendale;
- verifica vecchio impianto privacy ex D.Lgs. 196/03./li>
ESECUZIONE ASSESSMENT ORGANIZZATIVO/TECNOLOGICO e RISK ASSESSMENT CON SUCCESSIVA IMPLEMENTAZIONE DELLA DOCUMENTAZIONE
Dopo la prima fase, si procede all’esecuzione di una Gap Analysis rispetto alle normative di riferimento per le tematiche di personal data protection sia a livello organizzativo che tecnologico.
- Individuazione, mappatura e analisi dei trattamenti effettuati dal Titolare con previsione dei trasferimenti all’Estero;
- verifica degli asset
- verifica vecchio impianto privacy ex D.Lgs. 196/03./li>
- analisi e valutazione dei rischi a norma ISO 27001(lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa).
- redazione lettere di nomina responsabile e incaricati interni ed in outsourcing;
- redazione delle nuove informative (clienti, fornitori, personale dipendente e collaboratore, candidati all’assunzione, e-mail, sito web)
- registro delle attività di trattamento
- proposta adeguamento adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio nell’ambito IT con rif. art. 32- GDPR Sicurezza del Trattamento
- redazione procedure inerenti al corretto utilizzo degli strumenti elettronici da parte del personale
- redazione procedure di cambio password
- redazione procedura gestione reclami privacy
- verifica provvedimenti attivi es. Amministratore di Sistema, Videosorveglianza, geolocalizzazione etc.
- valutazione d’impatto se necessaria
VERIFICA, CONTROLLO E MONITORAGGIO
Attraverso un audit semestrale o annuale, si verifica l’efficacia dell’applicazione delle misure adottate con un controllo e miglioramento continuo.
Vuoi sapere come essere conforme alla normativa?
Siamo specializzati in consulenza privacy e in grado di affiancarti e supportarti in tutte le fasi del tuo percorso di adeguamento al nuovo Regolamento Europeo Privacy.
