GDPR: Regolamento generale sulla protezione dei dati

Il nuovo regolamento Europeo (GDPR) ha imposto nuovi standard di riferimento a tutte le Aziende/Enti/PA che trattano DATI personali, particolari e giudiziari.
La consulenza sul tema privacy comprende una serie di attività volte a valutare l’acquisizione, il trattamento e la conservazione dei dati, migliorandone l’efficacia e garantendone il completo rispetto dell’attuale normativa.La maggior incidenza ed impegno si avrà nell’Area organizzativa.

Il regolamento è costruito sul principio della responsabilizzazione (accountability) di titolari e responsabili del trattamento, il che si traduce in una serie di comportamenti proattivi da parte di chi tratta dati personali. L’intervento delle autorità di protezione dati è soprattutto ex post, non ex ante; non ci sono più obblighi di notifica preventiva o autorizzazione preventiva da parte dell’autorità. Il bilanciamento di interessi (rispetto all’interesse legittimo del titolare) spetta al titolare stesso, assistito da linee-guida delle autorità europee, ma che opera autonomamente”.

Con il Regolamento UE 2016/679 il titolare deve tenere un registro delle attività svolte sotto la propria responsabilità: nel registro vanno inseriti i trattamenti che l'azienda svolge. In questo registro, fra le altre informazioni, devono essere riportate le misure di sicurezza tecniche ed organizzative adottate.
Qualora si svolgono trattamenti diversi rispetto a quelli previsti, il titolare prima di procedere con il trattamento è tenuto ad effettuare una valutazione di impatto; sulla medesima dovranno essere evidenziati anche i rischi e le misure previste per affrontarli, descrivendo le misure di sicurezza adottate per proteggere i diritti e gli interessi legittimi degli interessati.

Il principio dell’accountability richiede che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Per raggiungere tale obiettivo, misurato sulla valutazione del rischio, occorre dotarsi di infrastrutture che possano sostenere l’Onere della Prova. La formazione ai propri dipendenti è obbligatoria al fine della gestione dell'adeguato processo di privacy.

Le novità introdotte dal GDPR, con riferimento all’analisi del rischio digitale, sono moltissime.
A seconda della tipologia di attività e trattamento effettuati dall’Organizzazione, il Titolare ha l’obbligo di individuare adeguate misure di sicurezza relative ai dati personali da essa trattati.
Esiste un vincolo di obbligatorietà per tutte le aziende che trattano DATI personali. Oltre a tale obbligo vi sono una serie di sanzioni che nascono dall’aver equiparato il trattamento dei DATI personali ad una attività di tipo pericolosa. Le sanzioni per la non conformità sono enormi e dipendono dall’infrazione.

Il Titolare del Trattamento è dotato di un potere decisionale in ordine alle tecniche da adottare ed alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento anche in outsourcing.
Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer (DPO), diventa obbligatorio nominarlo per le PA e per aziende che trattano dati particolari E/o in quantità notevoli.

Obbligatorio in questi casi:

Amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziari;
Tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Deve essere nominato in base alla qualità professionali:

Può essere un membro del personale o un fornitore di servizi esterno
Riporta direttamente al più alto livello manageriale
Non deve svolgere eventuali ulteriori compiti.
Può essere una figura esterna alla scuola.

Servizio Offerto

Il Servizio di Consulenza che offre la nostra azienda affronta in modo continuativo gli aspetti di:

Rinnovamento o adeguamento della documentazione a causa di nuove figure o nuovi ruoli inseriti nella scuola, modifiche ai documenti già prodotti o sviluppo di nuovi.
Proposte di eventuale adeguamento con nuove soluzioni all’impianto IT della scuola, per adeguarlo alle nuove mutate esigenze.
Operazioni di controllo periodiche trimestrali che devono essere prodotte per garantire e dimostrare agli enti esterni che sono state attuate e verificate le procedure, le informative ed i piani di formazione

La nostra azienda si affianca nell’opera di formazione dei dipendenti secondo i piani definiti.
Gli obblighi normativi sono molteplici ma soprattutto, occorrerà dotarsi di:

Procedure
Processi di formazione e Informative
L’applicazione di tali obblighi devono essere dimostrati. Ad esempio, dotandosi di relativo registro delle presenze e questionario della efficacia dell’apprendimento. Tutte cose che la vecchia legge 196/03 sulla Privacy metteva sotto la voce autocertificazione.
La nuova figura all’interno del GDPR: il “DPO” – Data Protection Officier – dovrà operare nelle scuole per coordinare e controllare ogni tipo di cambiamento, adeguamento, sviluppo in merito al GDPR. Fungere da contatto per il garante.

Cosa deve fare l'organizzazione (PA / Azienda)

Assicuratevi che le persone chiave siano a conoscenza della nuova esigenza;
Organizzate un audit informativo (dove sono i dati, chi ha i permessi di accesso… Etc);
Aggiornate la versione delle note sulla Privacy (su siti, documenti, form etc.);
Assicuratevi di rispettare i diritti individuali;
Pianificate come gestire le richieste di accesso;
Documentate la base giuridica per il trattamento dei dati personali (perché i dati vengono trattati? trattamento basato su consenso o giustificato da leggi, legittimi interessi, ecc.)
Informate ed Acquisite il consenso esplicito;
Garantite procedure per gestire le violazioni dei dati;
Nominate un Data Protection Officer (responsabile della protezione dei dati), se richiesto;
Determinate l’autorità di controllo della protezione dei dati;
Pensare come implementare un PIA o DPIA (Privacy Impact Assesment) ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali;
Prepararsi a gestire la raccolta dei DATI e pensare a come elaborare la Gestione Documentale.
Pensare a come adeguare l’intera infrastruttura IT coinvolta nel trattamento.

Cosa facciamo per voi?

Sopralluogo e Audit generale
Predisposizione e supporto alla redazione della modulistica personalizzata (nomine, registro dei trattamento, valutazione d’impatto, ecc.).
Fornitura di modelli e buone pratiche per l’applicazione della normava in materia di privacy, trasparenza, accessibilità, digitalizzazione e lotta alla corruzione incluse linee guida, regolamento necessarie a formalizzare gli incarichi previsti dalla normava;
Redazione della valutazione d’impatto (Data Protection Impact Assessment, “DPIA”)
Accesso riservato ad un apposito spazio web, aggiornato, contenente una sintesi dei principali adempimenti derivanti dalla normava vigente in materia di privacy, trasparenza, lotta alla corruzione, digitalizzazione (bozze dei documenti da produrre, fogli di calcolo, ecc.).
Piano di formazione sarà finalizzata alla preparazione del personale incaricato, sempre in materia di protezione dei dati e privacy, riguardo le operazioni da eseguire. La formazione sarà effettuata in presenza e si metterà a disposizione una piattaforma E-Learning con webinair tematici disponibili.

Contattaci per maggiori informazioni