GDPR
Il nostro team di Consulenti Privacy è in grado di supportarti in tutti gli obblighi privacy previsti dai Provvedimenti del Garante Privacy e dal nuovo Regolamento Europeo sul trattamento dei dati personali.
La metodologia di intervento dei nostri Consulenti Privacy prevede un percorso di affiancamento al personale interno per la creazione, la gestione e il mantenimento di un Sistema di Gestione Privacy attraverso i seguenti step:
1) ASSESSMENT – Report Gap Analysis e definizione piano interventi.
2) INTERVENTI TECNOLOGICI DI PROTEZIONE – Attivazione di misure tecniche ICT (dati, infrastrutture, applicazioni).
3) REVISIONE ED ORGANIZZAZIONE PROCESSI (GOVERNANCE) – Realizzazione di misure organizzative (HR & Legal).
4) TRAINING RESPONSABILI TRATTAMENTO – Realizzazione di misure organizzative (HR & Legal).
5) ASSISTENZA ALLA COMPLIANCE – Preparazione a audit/verifiche e aggiornamenti periodici.
Siamo a tua disposizione
Il Regolamento
Il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 inerente il trattamento dei dati personali. Nel contempo è stata emanata anche la Direttiva 2016/680 che prevede l’obbligo per gli Stati Membri di intervenire regolando gli aspetti che non possono essere oggetto di un Regolamento europeo, come la sicurezza nazionale e le attività degli organi giudiziari e di polizia.
Il Regolamento ha prodotto i suoi effetti a partire dal 25 maggio 2018, data che rappresentava il termine ultimo per organizzarsi e adeguarsi alle nuove regole.
Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici, imprese private e studi professionali) che a vario titolo trattano dati classificabili come “dati personali” di cittadini residenti nella UE, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).
Il Regolamento ruota attorno a 4 principi:
• ACCOUNTABILITY & GOVERNANCE – Il Regolamento pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia sull’adozione di comportamenti proattivi, tali da dimostrare la concreta adozione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento.
• BREACH NOTIFICATION – L’art. 33 del Regolamento impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in cui ne viene a conoscenza, ma soltanto se è ritenuto probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
• STORAGE LIMITATION – I dati personali non dovranno essere conservati per un periodo di tempo maggiore di quanto sia strettamente necessario in relazione alla finalità del trattamento.
• INDIVIDUAL’S RIGHTS – Il Regolamento introduce il Diritto di Accesso (art.5) che obbliga le aziende a fornire agli individui l’accesso ai propri dati; il Diritto alla Portabilità (art. 20), ovvero la possibilità di trasferire i dati ad un’altra organizzazione in modo semplice e completo; il Diritto di Cancellazione (art.17), ossia il diritto alla cancellazione dei dati personali quando richiesto o quando non sussistono più le condizioni per il trattamento o la conservazione.
Il Regolamento coinvolge nei processi aziendali anche 6 figure chiave:
- Persona fisica: il proprietario dei dati.
- Controller: il titolare del trattamento.
- Processor: è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
- Data Protection Officer (DPO): il responsabile della protezione dei dati.
- Supervisory Authority: il garante per la protezione dei dati personali.
- European Data Protection Board (EDPB)