La privacy è un prerequisito di sicurezza per tutti
Il nuovo Reg. UE 2016/679, definito anche “Regolamento Generale sulla Protezione dei Dati”, è entrato in vigore in tutti i Paesi UE a partire dal 25/05/18, obbligando tutte le aziende pubbliche e private all’adeguamento rispetto alla nuova normativa.
L’obiettivo del nuovo Regolamento è quello di avere più tutele per i cittadini e semplificazioni per le Imprese, garantendo la protezione e la libera circolazione dei dati personali, considerando che tali informazioni sono un asset fondamentale per qualsiasi tipo di attività e per lo sviluppo sempre crescente del trattamento dei dati personali informatizzato.
A tale proposito, il nuovo Regolamento obbliga i Titolari del trattamento a rivedere ed aggiornare tutta la parte documentale e operativa presente in azienda, applicando misure di sicurezza adeguate sia tecnologiche che organizzative e dimostrandone l’efficacia.
Servizi G&A per la gestione della GDPR
Diventa indispensabile affidarsi a specialisti con un’ampia visione del mercato e competenze integrate sul campo, come il Team G&A che supporta i Clienti per gestire il trattamento e la sicurezza dei dati personali.
Audit preliminare di valutazione dei rischi
- verifica e valutazione aziendale in merito a quanto previsto dal precedente D.lgs. 196/203 “Codice in materia di protezione dei dati personali”;
- analisi e valutazione della tipologia dei dati trattati;
- analisi e valutazione dei rischi aziendali in relazione al trattamento dei dati;
- valutazione dell’obbligo di nominare il Data Protection Officer (DPO);
Adeguamento al nuovo Reg. UE 2016/679 (Compliance)
- definizione di ruoli e responsabilità in materia di protezione dei dati e misure di sicurezza adottate;
- definizione della Politica di conservazione dati e del Sistema di Governance delle informazioni;
- predisposizioni di flussi informativi fra Titolare e Responsabili ed eventuale DPO (Data Protection Officer);
- redazione del Registro dei trattamenti;
- elaborazione di procedure per la sicurezza dei dati in conformità al Reg. UE 2016/679;
- redazione delle informative aziendali rivolte a dipendenti, clienti o consumatori finali (stakeholder);
- sicurezza dei dati e notifiche e comunicazione di violazione dei dati (Data Breach);
- elaborazione degli incarichi e dei responsabili al trattamento dei dati;
- elaborazione dei piani di informazione e formazione per le figure aziendali coinvolte nel trattamento dei dati;
- supporto alla redazione della contrattualistica nei confronti di soggetti che trattano dati in nome e per conto dell’azienda;
- adeguamento in materia di videosorveglianza negli esercizi pubblici comprensiva di formazione all’Incaricato per l´accesso al sistema di videosorveglianza, comunicazioni e cartelli obbligatori e redazione dell’informativa per lavoratori e clienti ai sensi del Provvedimento del Garante per la protezione dei dati personali del 08/04/2010 e del nuovo Reg. UE 2016/679.
Formazione sulla protezione e trattamento dei dati personali
Conforme ai requisiti degli artt. 39, 47 del Reg. UE 679/2016, possiede contenuti in linea con la norma UNI DPO 11697:2017 in materia di Protezione dei Dati Personali per i Referenti aziendali del Sistema (Store Manager) e viene condotto con metodologia didattica validata ISO 9001 in modalità tradizionale (registro presenze, moduli didattici, test di uscita, certificato di frequenza).
Corso di formazione “GDPR – Il nuovo Sistema di Protezione e Trattamento dei dati personali” (2 ore)
- L’inquadramento normativo;
- I fondamenti del GDPR e le novità introdotte;
- Il trattamento dei dati personali e particolari;
- I diritti dell’interessato;
- L’accesso degli interessati all’esercizio dei diritti;
- I fondamenti di liceità del trattamento;
- Il modello organizzativo e adempimenti del regolamento europeo;
- I controlli effettuati dall’Autorità Competente e la disciplina sanzionatoria.
Audit interni di verifica sul rispetto dei requisiti
- audit sul livello di applicazione delle procedure in materia di trattamento dei dati;
- training on the job per il personale per la corretta applicazione del trattamento dei dati;
- redazione del rapporto di audit con evidenza delle azioni correttive e/o di miglioramento da intraprendere per migliorare la corretta applicazione delle procedure e tutelare la proprietà.
Mantenimento del sistema aziendale al Reg. UE 2016/679
- verifica della definizione di ruoli e responsabilità in materia di protezione dei dati e misure di sicurezza adottate;
- conferma e adeguatezza della Politica di conservazione dati e del Sistema di Governance delle informazioni;
- verifica dei flussi informativi fra Titolare e Responsabili ed eventuale DPO (Data Protection Officer);
- verifica dei dati contenuti nel Registro dei trattamenti;
- verifica di adeguatezza delle procedure per la sicurezza dei dati in conformità al Reg. UE 2016/679;
- verifica delle informative aziendali rivolte a dipendenti, clienti o consumatori finali (stakeholder);
- verifica di eventuali perdita dei dati e notifiche e comunicazione di violazione (Data Breach);
- verifica degli incarichi e dei responsabili al trattamento dei dati;
- verifica dell’adeguatezza dei piani di informazione / formazione per le figure aziendali coinvolte nel trattamento dei dati;
- supporto alla redazione della contrattualistica nei confronti di soggetti che trattano dati in nome e per conto dell’azienda.
Aggiornamento del sistema aziendale al Reg. UE 2016/679
- Aggiornamento del registro del trattamento dei dati;
- Aggiornamento della valutazione dei rischi aziendali in relazione al trattamento dei dati;
- Aggiornamento del corso di formazione del personale;
- Aggiornamento delle procedure di gestione della protezione dei dati personali;
- Aggiornamento degli incarichi al trattamento dei dati.
Ogni Organizzazione pubblica o privata, anche senza scopo di lucro, deve effettuare la valutazione dei rischi relativi al trattamento dei dati e mettere in atto adeguate misure organizzative, tecnologiche e informatiche per gestire le informazioni sulle persone fisiche.
Il Regolamento UE 2016/679 noto con la sigla GDPR (General Data Protection Regulation), si applica al trattamento dei dati personale, ed al trattamento non automatizzato dei dati conservati in un archivio o banca dati così come definito nel codice della privacy italiano.
A differenza dell’attuale D.lgs. 196/01, il nuovo Regolamento si applica anche a Enti, Imprese e Organizzazioni anche con sede legale fuori dall’UE che trattano dati di persone residenti nell’Unione Europea, a prescindere dal luogo ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server).
Secondo la Commissione Europea, i dati personali si riferiscono a qualunque informazione relativa ad un individuo, collegata alla sua vita privata, professionale o pubblica e può riguardare qualunque dato personale quali nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.