GDPR

Adeguamento al GDPR e monitoraggio del sistema di gestione privacy

Ai sensi del Regolamento (UE) 2016/679, analizziamo tutte le tipologie di trattamenti di dati personali effettuate all’interno dell’azienda, fornendo consulenza GDPR in merito alle misure tecniche e organizzative da adottare.
Secondo quanto stabilito dal Decreto Legislativo del 10 agosto 2018, n.101 (decreto che recepisce il Regolamento generale sulla protezione GDPR 2016/679), la nostra consulenza in materia di privacy permette di valutare lo scostamento dai requisiti richiesti e di creare su misura i documenti necessari per ogni specifica realtà aziendale esaminata.
Di seguito gli step condotti da Officina Consulting s.r.l. per l’adeguamento privacy e monitoraggio privacy

•  Identificazione e mappatura di tutti i trattamenti di dati personali svolti in ambito aziendale;
•  Valutazione dello scostamento rispetto ai requisiti richiesti dal Regolamento Europeo 2016/679 e implementazione del sistema GDPR in ottica privacy by design e by default;
•  Implementazione di soluzioni per migliorare la gestione dei dati, al fine di prevenire le violazioni di dati personali (“data breach”);
•  Definizione delle misure tecniche e organizzative adeguate con l’obiettivo di limitare il rischio di sanzioni, così come previsto dal Regolamento GDPR del 25 maggio 2018;
•   Creazione su misura della documentazione necessaria per ogni tipologia di azienda.
• Assistenza alle aziende attraverso audit e verifiche periodiche per il mantenimento continuo (post-adeguamento)
• Aggiornamento del sistema e documentazione privacy in concomitanza con l’evoluzione del quadro normativo.

Grazie alla collaborazione dei i nostri partner, professionisti in ambito informatico, forniamo anche servizi di vulnerability assessment e penetration test.
In caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a 20.000.000,00 € o fino al 4% del fatturato.

Assunzione del ruolo di responsabile della protezione dei dati (RPD) – data protection officer (DPO)

Che cos’è il data protection officer (DPO) e quali sono i suoi compiti.
Il responsabile della protezione dei dati personali (anche conosciuto come data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto, controllo, consultazione, formazione e informazione relativamente all’applicazione del Regolamento in materia di privacy.

Che requisiti deve possedere il responsabile della protezione dei dati personali.
Il responsabile della protezione dei dati personali deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy. Offre la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, supportando il titolare nell’adozione delle misure di sicurezza. Agisce in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali. Dispone di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Chi sono i soggetti obbligati alla designazione del DPO.
La designazione del DPO è obbligatoria per i soggetti che:

• svolgono trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• svolgono trattamenti su larga scala di categorie particolari di dati personali;
• gestiscono in larga scala dati relativi a condanne penali e a reati.;

A titolo esemplificativo e non esaustivo, sono tenuti alla nomina:

• Istituti di credito;
• Imprese assicurative;
• Sistemi di informazione creditizia;
• Società finanziarie;
• Società di informazioni commerciali;
• Società di revisione contabile;
• Società di recupero crediti;
• Istituti di vigilanza;
• Partiti e movimenti politici;
• Sindacati;
• CAF e patronati;
• Società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
• Imprese di somministrazione di lavoro e ricerca del personale;
• Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
• Società di call center; società che forniscono servizi informatici;
• Società che erogano servizi televisivi a pagamento.

Il DPO deve essere un soggetto interno o può essere anche un soggetto esterno?
Il ruolo di responsabile della protezione dei dati personali (RPD) può essere ricoperto da un dipendente del titolare o del responsabile (in assenza di conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti.
L’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura.
Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno comunicati all’Autorità di controllo.

I nostri servizi come DPO.
Oltre ai servizi di consulenza privacy (vedi sezione “ADEGUAMENTO AL GDPR E MONITORAGGIO DEL SISTEMA DI GESTIONE PRIVACY”), la nostra azienda assumendo il mandato di DPO, assolverà i seguenti compiti:

• Informare e fornire consulenza sugli obblighi imposti dal regolamento 2016/679 al Titolare del trattamento o al Responsabile del trattamento;
• Sorvegliare la corretta applicazione del Regolamento;
• Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
• Cooperare e fungere da punto di contatto con l’autorità di controllo

Le variabili che incidono sullo svolgimento dei nostri servizi sono le seguenti:

• Quantità di trattamenti eseguiti dall’organizzazione e numero di sedi dell’azienda;
• Presenza di processi di profilazione e processi automatizzati;
• Tipologia e quantità di dati trattati (ad esempio identificativi o sensibili su larga scala).

Per ogni altra ulteriore informazione è possibile consultare il sito del Garante Privacy https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
In caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a 20.000.000,00 € o fino al 4% del fatturato.

Il registro delle attività di trattamento

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede la tenuta del registro delle attività di trattamento ovvero un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

CHI È TENUTO A REDIGERLO? 

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento.

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD (ex “dati sensibili”), o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

• esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
• liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
• associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (organizzazioni di tendenza;
associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
• il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

QUALI SONO LE MODALITÀ DI CONSERVAZIONE E DI AGGIORNAMENTO?

Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione così come quella dell’ultimo aggiornamento.

In caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a 20.000.000,00 € o fino al 4% del fatturato.

 

Se stai cercando un partner affidabile per una consulenza sulla governance aziendale, contattaci.