Il cliente è una cooperativa di grandi dimensioni con varie sedi sparse sul territorio nazionale e presidi presso strutture appartenenti ai Comuni o ad altre cooperative con le quali collabora assiduamente.
L’impresa di occupa di soggetti vulnerabili: tossicodipendenti; ex carcerati; minori; persone con problematiche sociali e diversamente abili.
Kruzer ha realizzato tutta la documentazione e ha fornito la consulenza per l’adeguamento iniziale al GDPR e continua a fornire consulenza continuativa nel ruolo di Responsabile della Protezione dei Dati (DPO).
Ottima gestione della rete informatica.
Fortunatamente, la competenza dell’amministratore di sistema ha agevolato le operazioni di implementazione delle misure tecniche idonee alla sicurezza e alla protezione dei dati.
Kruzer è intervenuta soprattutto per gestire l’implementazione delle misure organizzative: policy condivise, formazione, nomine di responsabilità e politica delle informative e dei consensi privacy.
Gli appalti e le collaborazioni.
La peculiarità di una cooperativa sociale è quella di interagire con il territorio e con le strutture pubbliche e private che lo gestiscono. Risulta quindi evidente l’importanza del nostro cliente di operare tramite appalti pubblici, ati (associazioni temporanee d’impresa) e collaborazioni con soggetti che possono essere comuni, scuole, associazioni e altre cooperative.
In questi casi diventa fondamentale capire i ruoli dei vari soggetti sotto il profilo della responsabilità e del ruolo che devono rappresentare, da formalizzare spesso con atti giuridici ad hoc, policy specifiche e accordi tra le parti. Un esempio, gli accordi di contitolarità del trattamento (art. 26 del GDPR), stipulati tra la società nostra cliente e un pool composto da altre cooperative e comuni.
Kruzer, grazie anche al network legale Delex è in grado di affrontare tutte le problematiche e le questioni attinenti l’area del diritto e degli accordi inter-societari, tra cui l’analisi e/o la redazione della contrattualistica.
Il servizio di DPO (data protection officer).
Una società di grandi dimensioni, in particolare quando gestisce i dati di molti soggetti e/o come in questo caso una grande quantità di dati sensibili, necessita della nomina di un Responsabile della Protezione dei Dati (RPD o DPO in inglese), come indicato nell’art. 37 del GDPR.
Tale figura rappresenta un punto di riferimento per l’applicazione della normativa sulla protezione dei dati e della privacy in azienda e diventa il principale referente dei soggetti interessati e dell’Autorità Garante (la nomina viene trasmessa all’ufficio del Garante della privacy). Si tratta di un esperto della normativa e delle procedure di protezione e di sicurezza dei dati.
Il DPO può essere nominato all’interno dell’organizzazione (nella maggior parte dei casi dovrebbe svolgere l’attività in via esclusiva per non incorrere nel conflitto di interessi) o all’esterno, in outsourcing.
Nel caso specifico, il DPO deve essere in grado di confrontarsi con i DPO delle altre strutture pubbliche e private con le quali il cliente interagisce quotidianamente.
Il cliente ha nominato Kruzer, quale suo DPO, operante in outsourcing. Kruzer opera non in qualità di singolo professionista, anche se deve essere indicata una persona specifica come riferimento all’Autorità Garante della privacy, ma come team di lavoro che coinvolge diverse specializzazioni, tutte strumentali al ruolo svolto.