top of page
Panoramica
Panoramica

Il 25 maggio è entrato in vigore il Regolamento UE 2016/679 definito anche GDPR – General Data Protection Regulation.

Con l’introduzione di questo regolamento il Legislatore europeo rovescia completamente la prospettiva dell’attuale quadro normativo e sposta l’attenzione sui doveri e sulla responsabilizzazione del titolare del trattamento (“accountability”). Obiettivo del GDPR è quello di armonizzare la legislazione in termini di privacy e trattamento del dato e rafforzare così la tutela dei diritti dei cittadini in questo ambito.

Il GDPR richiede alle aziende di proteggere i dati personali con il fine di evitare forme di trattamento illegittime, in particolare:

  • Divulgazione non autorizzata

  • Accesso o alterazione di dati personali

 

Per questo vi è l’esigenza di implementare tecniche appropriate che assicurino un elevato livello di sicurezza.

A partire dal 25 maggio 2018 tutte le organizzazioni quindi, sono chiamate a dimostrare di aver implementato misure adeguate per ridurre il rischio di non conformità con la norma e che il dovere di protezione dei dati è seriamente tenuto in considerazione. Sono previste sanzioni fino al 4% del fatturato globale delle aziende, in caso di violazione dei dati.

Le aziende devono essere in grado di dimostrare la conformità al regolamento tramite misure di governance, che includano:

  • Documentazione dettagliata

  • Aggiornamento delle informative e dei contratti

  • Registrazione e verifica dei processi di gestione previsti dalla GDPR (tra cui trattamenti, nomine, informative)

  • Valutazione continua del rischio

  • Formazione del personale.

Chi deve adeguarsi
Chi deve adeguarsi

E’ impattata dal GDPR qualunque organizzazione (pubblica, privata, profit, no-profit, etc…) che raccoglie, conserva o tratta dati personali di residenti dell’Unione europea, indipendentemente da dove sia localizzata l’organizzazione stessa.

I dati raccolti possono essere di:

  • Business partner

  • Fornitori

  • Clienti e prospect

  • Dipendenti.

 

Le organizzazioni nel regolamento sono definite come “Titolari del Trattamento”, e sono coloro che determinano perché e come vengono trattati i dati personali. Ai titolari possono affiancarsi i “Responsabili del Trattamento” che sono coloro che agiscono per conto dei titolari, senza però avere la titolarità dei dati.

Per entrambi i soggetti, che possono essere persone Fisiche o Giuridiche, il GDPR indica precisi obblighi e prevede severe sanzioni in caso di violazione o non compliance al regolamento.

Da dove iniziare
Da dove iniziare?

Considerando quante attività e persone sono coinvolte nell’adeguamento al GDPR è assolutamente sconsigliato aspettare l’entrata in vigore del Regolamento per capire come adeguarsi ed iniziare ad introdurre i necessari cambiamenti in azienda.

La prima attività è iniziare un’ Assessment sulle principali Aree Aziendali impattate dalla GDPR:

Governance:

Prima di tutto l’azienda deve raccogliere tutte le informazioni che riguardano il trattamento dei dati, cominciando prima di tutto a prendere in considerazione le attività e le procedure già attivate per adeguarsi alla normativa attualmente vigente (Codice Privacy D.Lgs 196/2003 e provvedimenti del Garante della Privacy).
Successivamente identificare le Misure da Adottare, le Analisi da Condurre oltre agli Strumenti ed Organizzazione da implementare.

Comunicazioni:

Con il supporto di una struttura di consulenza legale si dovrà analizzare ed aggiornare modelli e politiche di comunicazione verso Dipendenti, Fornitori e Clienti, aggiornare le varie informative sia tradizionali (documenti e contratti) che digitali (siti web, portali, intranet).

Processi:

L’azienda deve poi analizzare i settori di business in cui opera, le categorie di dati trattati, i trattamenti affidati a terzi, le certificazioni già ottenute, insomma tutto quanto concorra ad arrivare ad uno schema completo che consenta di mappare: processi, ruoli, procedure, competenze, documentazione, sistemi di controllo e tutto quanto abbia impatto sul trattamento dei dati.
La necessità di rivedere tutto l’impianto relativo alla gestione dei dati personali deve essere visto come un’opportunità  per rivedere ed ottimizzare i processi ed eliminare raccolte di dati non necessari.

Dati:

Regolamentare le Basi Dati, il loro utilizzo, garantire la trasparenza e affidabilità richieste dalla GDPR. Assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati sono gli aspetti principali da valutare in ottica GDPR.

Sicurezza:

Pseudonimizzazione e Cifratura dei Dati, Integrità, Disponibilità, Resilienza dei Sistemi e Data Recovery sono i principali concetti richiamati all’interno della normativa GDPR rispetto ai quali i Sistemi Informativi sono chiamati a dare garanzie.
Il nuovo Regolamento introduce anche il concetto di “protezione dei dati fin dalla progettazione (Privacy by Design) e protezione per impostazione predefinita (Privacy by Default)”, sottolineando che la sicurezza del dato e delle infrastrutture deve essere garantita sin dall’inizio del processo di raccolta e non a posteriori.

Come possiamo aiutarti
Come possiamo aiutarti

 

​Assessment:

Inizialmente con un Assessment attraverso il quale ottenere un’analisi dei rischi e dell’impatto del GDPR sui Sistemi Informativi.

L’IT da sola non basta! In questa fase sarà necessario identificare la struttura di Consulenza Legale che insieme a noi, esperti IT, analizzerà tutti gli aspetti normativi e fornirà le linee guida di adeguamento sia tecnologico che di processi e procedure. Possiamo aiutarti anche in questo!

Adeguamento:

A seguito dell’ Assessment Legale e Informatico possiamo supportare la tua azienda nel Processo di adeguamento sia per la componente del Modello di Governance dei sistemi informativi (processi e procedure), che per la componente Tecnologica. La nostra missione sarà quella di rendere i Sistemi Informativi della tua azienda in linea con i dettami della GDPR e garantire la massima sicurezza nella protezione dei dati.

Strumenti di Gestione:

La nuova normativa GDPR introduce il nuovo concetto di Accountability: è responsabilità delle Aziende adottare Procedure per Provare, Verificare e Valutare l’efficacia delle misure tecniche ed organizzative.
Noi abbiamo la soluzione che ti permette di governare giorno per giorno tutti i processi, le procedure, i ruoli, la documentazione e gestire tutti gli adempimenti nel rispetto dei dettami introdotti dalla GDPR.

I termini chiave del GDPR

ACCOUNTABILITY

Un approccio basato sulla responsabilità

Il grande cambiamento apportato dal GDPR sta nel porre con forza l’accento sulla  “responsabilità” (accountability) di titolari e responsabili del trattamento dei dati personali.

Questo si traduce nella precisa richiesta di “adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento” (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento).

Ciò vuol dire che le organizzazionI devono essere in grado di dimostrare di aver analizzato le richieste del regolamento sul trattamento dei dati personali ed aver implementato sistemi, procedure e programmi che consenta loro di essere in compliance con la norma.

Si tratta di una grande novità per la protezione dei dati in quanto sono i titolari del trattamento a decidere in completa autonomia modalità, garanzie e  limiti del trattamento dei dati personali, purché rispettino le disposizioni normative e aderiscano a criteri specifici indicati nel regolamento.

La tua azienda ha bisogno di supporto per gestire la compliance?
 
Contattaci per avere maggiori informazioni
Inizio
Pagina

Scarica Regolamento completo

Video GDPR

Informazioni approfondite

del Parlamento Europeo su GDPR

bottom of page