Adeguamento alla privacy Europea Reg. UE 679/2016 (GDPR)


Nuova normativa sulla privacy europea, Reg. UE 679/2016 (GDPR)

Il cosiddetto "Adeguamento privacy (GDPR)" altro non è che l'allineamento alla normativa sulla privacy dell'Unione Europea, entrata in vigore il 25 maggio 2018.

La nuova normativa privacy ha come ambito di applicazione tutti i cittadini europei e riguarda i trattamenti di dati effettuati da qualsiasi soggetto giuridico privato e pubblico, senza distinzione di attività e/o fatturato.

Le disposizioni del nuovo regolamento si imperniano sul concetto di accountability, ovvero di responsabilità e proattività, in particolare nella predisposizione di una architettura per il trattamento dei dati secondo il concetto di data protection by default e by design.

I gravosi oneri ai quali tutti i soggetti tenuti all’adempimento sono sottoposti vengono presidiati da un nuovo apparato sanzionatorio, con previsione di sanzioni pecuniarie sino ad € 20.000.000,00, ovvero pari al 4% del fatturato annuo in caso di inadempimento.

Kruzer offre la consulenza necessaria a conformare i propri clienti alla nuova normativa, curando la predisposizione dell’architettura per la gestione dei dati, le tecniche di protezione e Sicurezza informatica allo stato dell’arte, la redazione dei modelli contrattuali e regolamentari opportuni, nonché la formazione specialistica del personale.

Procedura di adeguamento al GDPR

La procedura di adeguamento al Regolamento europeo sulla privacy (Gdpr), prevede una serie di step obbligatori:

  • analisi del rischio privacy: noi la effettuiamo tenendo conto delle disposizioni derivanti dalle norme di certificazione ISO 270001 e dalle disposizioni fornite da Enisa, organismo europeo che redige le linee guida per la sicurezza informatica; effettuiamo un'analisi per ogni gruppo di trattamenti, da cui deriva la necessità eventuale dell' analisi d'impatto e tutte le misure tecniche e organizzative da implementare per essere compliant con la normativa vigente;
  • raccolta di tutti i dati e le informazioni necessarie;
  • registro dei trattamenti: è obbligatorio redigerlo e tenerlo aggiornato nel tempo. E' una mappatura dei flussi di dati, dei ruoli privacy, delle misure di protezione adottate, etc.;
  • mappatura delle sedi; degli asset (fisici e informatici) che contengono dati personali; dei soggetti che all'interno e/o all'esterno dell'organizzazione aziendale trattano i dati;
  • lettere di nomina degli autorizzati al trattamento;
  • atti giuridici di nomina dei responsabili esterni;
  • atto giuridico di eventuale contitolarità;
  • eventuali policy e procedure riguardanti i trattamenti dei dati personali;
  • informative e consensi specifici per i principali gruppi di trattamento (clienti, personale, sito web, etc.) secondo le modalità imposte dal GDPR;
  • eventuale analisi legale di contratti e accordi in essere.
     

Formazione del personale

Formazione, obbligatoria di tutto il personale incaricato al trattamento dei dati, sulle tematiche relative i principi fondamentali del GDPR e le buone pratiche da seguire per garantire un atteggiamento proattivo rispetto alla protezione dei dati personali.

E' possibile organizzare dei corsi su misura, da effettuarsi presso l'azienda.
 

Servizio di Data Protection Officer (DPO)

Assunzione di nomina e incarico di Privacy Officer in conformità al Reg. UE 679/2016, quando previsto.

Il GDPR prevede la figura "super partes" del Responsabile della Protezione dei Dati nel caso in cui l'azienda trattasse dati particolari o profilazioni in quantità massiva.
 

Consulenza per verifica-adeguamento GDPR / privacy già effettuato con scarso successo

Alcune aziende e professionisti hanno acquistato dei sofware per effettuare da soli l'adeguamento. Non sempre il processo è andato a buon fine a causa della complessità della materia, che richiede una conoscenza specifica, e spesso a causa di applicazioni poco "friendly". In questi casi possiamo aiutare i professionisti a portare a termine l'adeguamento nel modo più corretto ed effettuare la formazione di base obbligatoria per gli autorizzati al trattamento.

Anche se il processo fosse andato a buon fine, la nostra consulenza potrebbe essere utile per confermare o correggere le azioni di adeguamento intraprese.