COS'E'?

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE). Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018Le regole sono complesse e le sanzioni per chi non le rispetterà sono onerose (fino a 20 milioni di euro).

COME SI APPLICA?

Che cosa bisogna fare quindi per implementare Sistema Privacy nella propria azienda?
Seguendo i dettami dei Sistemi Qualità si dovranno definire formalmente i responsabili Privacy (come da
articolo 4 del GDPR):
-il «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare
del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

-il «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Poi dovrà essere mappata l’azienda dando una rilevanza all’organigramma in modo da poter attribuire funzionalmente ogni risorsa ad una unità operativa, includendo non solo il personale dipendente ma tutti coloro che hanno una qualche attività con l’impresa stessa (ogni persona che può essere coinvolta in un processo di trattamento privacy). 
Quindi, a partire dal censimento dei dati personali presenti e dei relativi trattamenti, si dovrà riportare alle singole risorse l’incarico di trattare quel particolare dato.
Si dovrà prevedere per ogni risorsa una lettera di incarico che evidenzi compiti e responsabilità di trattamento e un piano formativo idoneo a preparare ad una corretta gestione.
La conservazione ed il trattamento del dato creano, come evidenziato in precedenza, eventi di rischio (accesso indesiderato, perdita, utilizzo non permesso, trattamento non conforme, ecc.).
Risulta un passo inevitabile attuare un PIA preventivo (Privacy Impact Assessment = censimento degli impatti privacy) in cui per ogni fenomeno si valuta rischiosità complessiva, azioni intraprese e rischiosità residua in modo da realizzare il primo documento che fotografa la situazione corrente.
Dalla valutazione del PIA nasce un piano interno in cui viene stabilito in quale modo verrà mitigato il singolo rischio, coloro che sono incaricati di operare in tal senso e il costo previsto per l’attività.
Questo planning operativo deve essere costantemente monitorato e avrà impatto sul Privacy Impact Assessment successivo (uno/due all’anno potrebbero essere sufficienti) in cui si andranno ad evidenziare i miglioramenti ottenuti e le eventuali ulteriori rischiosità subentrate.
Per le aziende diventa allora fondamentale dotarsi di un sistema informatico atto a censire, valutare, monitorare lo stato di rischio e implementare automaticamente il reporting necessario e le comunicazioni operative per le varie risorse.

COSA PROPONIAMO

Per andare incontro alle necessità che questa nuovo cambiamento comporta Delta Informatica ha stretto una partnership con la società PQA - Progetto Qualità e Ambiente, esperta in servizi di consulenza e formazione in materia di qualità, sicurezza, privacy. (Scarica la presentazione PQA).

Per gestire in maniera professionale e competente il passaggio al Regolamento Europeo, Progetto Qualità e Ambiente ha formato delle proprie risorse come “Data Protection Officer“ certificati TÜV Italia secondo la norma UNI CEI EN ISO/IEC 17024:2004.

DELTA INFORMATICA insieme a PQA propone una consulenza completa per capire dove  l'azienda deve intervenire per adeguarsi al nuovo regolamento.

Per conoscere l’elenco di tutte le novità introdotte dal Regolamento Europeo sulla protezione dei dati e di come il nostro studio intende intervenire in questo ambito, vi invitiamo a leggere la tabella che segue.

Novità introdottaSintetica descrizioneIl servizio di PQA
INFORMATIVA E
CONSENSO
Secondo il Regolamento Europeo
l’informativa dovrà contenere tutti
gli elementi previsti dalla vecchia
normativa con aggiunti altri nuovi
elementi, ma il documento dovrà
avere una grafica di più immediata
comprensione. Il consenso
dell’interessato deve essere
effettivo e inequivocabile. Può
essere formulato, ad esempio,
mediante dichiarazione scritta,
anche attraverso mezzi elettronici,
o verbale. Questo può avvenire
anche mediante selezione di
un’apposita casella in un sito web,
ma non è consenso il silenzio
assenso, l’inattività o la
preselezione di caselle.
Il nostro servizio di consulenza
prevede:
• la progettazione e la redazione di
tutte le informative da rendere
agli interessati (clienti, fornitori,
dipendenti, videosorveglianza,
GPS, utenti siti web, ecc.);
• l’implementazione delle modalità
di richiesta del consenso al
trattamento;
• l’individuazione di eventuali
sistemi automatizzati capaci di
rendere disponibile all’interessato
in forma più agevole il documento.
VALUTAZIONE
D’IMPATTO (P.I.A.
Privacy Impact
Assesment)
In casi specifici, come il ricorso a
tecnologie a rischio per i diritti
delle persone, il trattamento deve
essere testato con una valutazione
d’impatto privacy ed
eventualmente con una
consultazione preventiva del
Garante della Privacy
Ci occuperemo di predisporre un
documento contenete una
descrizione dei trattamenti previsti e
delle finalità con la valutazione del
rischio per i diritti e le libertà
individuali a cui verrà affiancata una
descrizione delle misure idonee ad
affrontare i rischi.
PRIVACY BY
DESIGN
Il Regolamento Europeo impone di
progettare sistemi e applicativi, di
regola tarati sul principio dell’uso
minimo e indispensabile dei dati
personali. Si devono adottare ad
esempio sistemi di
pseudonimizzazione
Siamo disponibili ad affiancare i
responsabili nella progettazione di
modalità di trattamento preventive
ad assicurare limitati rischi nel
trattamento dei dati.
PRIVACY BY
DESIGN
Il Regolamento Europeo impone di
progettare sistemi e applicativi, di
regola tarati sul principio dell’uso
minimo e indispensabile dei dati
personali. Si devono adottare ad
esempio sistemi di
pseudonimizzazione

Siamo disponibili ad affiancare i
responsabili nella progettazione di
modalità di trattamento preventive
ad assicurare limitati rischi nel
trattamento dei dati.

PRIVACY BY
DEFAULT
Il Regolamento Europeo impone di
progettare misure e sistemi che
abbiano come impostazione
predefinita solo l’uso dei soli dati
necessari per una certa finalità.

Siamo disponibili ad affiancare i
responsabili nella progettazione di
sistemi idonei ad assicurare i
massimi livelli di protezione dei dati.

SICUREZZASul Titolare del trattamento
incombe l’obbligo di effettuare
l’analisi dei rischi e di vaglio della
adeguatezza delle misure di tutela.
Utile l’adesione a sistemi di
certificazione e a codici di
condotta.

Il nostro servizio di consulenza
prevede la redazione di un’analisi
dei rischi con l’individuazione delle
misure attuate/da attuare per
attenuarli in un vero e proprio
programma di miglioramento.

VIOLAZIONE DEI
DATI (Data Breach)
Si estende a tutti la regola della
Notifica di violazione dei dati
personali al Garante della Privacy e
all’interessato (a quest’ultimo solo
in caso di grave rischio per i suoi
diritti).

L’intervento dei nostri esperti
consiste nella predisposizione di
procedure idonee a rilevare possibili
data breach e la successiva
comunicazione all’Autorità.

DATA PROTECTION
OFFICER
E’ una nuova figura di riferimento
per imprese private e Pubblica
Amministrazione. E’ l’interfaccia
per le Autorità Garanti.
Nel settore privato dovrà essere
nominato in caso di trattamenti di
dati su larga scala o di
monitoraggio sistematico degli
interessati. Questa figura
professionale sarà d’obbligo anche
in tutte quelle imprese che trattano
dati sensibili.

PQA fornisce alle imprese e alla P.A.
personale con competenze
professionali certificate, in grado di
assumere la nomina esterna di Data
Protection Officer.

REGISTRI DEI
TRATTAMENTI
(ex DPS/MOP)
Il Titolare e il Responsabile del
trattamento devono redigere i
registri di competenze in cui
indicare le caratteristiche, modalità
e finalità dei trattamenti.

Il nostro servizio prevede la
predisposizione di registri (ex
DPS/MOP) con individuazione delle
banche dati utilizzate e indicazione
di tutti gli elementi richiesti dalla
Normativa.

CODICI ETICI E
CERTIFICAZIONI
VOLONTARIE
Il Regolamento incoraggia lo
sviluppo e l’adozione di Codici di
autoregolamentazione certificazioni
dei trattamenti.

PQA fornisce la consulenza per lo
sviluppo di sistemi di gestione e di
Modelli Organizzativi 231.

PORTABILITA’ DEI
DATI
All’interessato viene riconosciuto il
diritto di ottenere la restituzione
dei propri dati personali trasmessi
ad un’azienda o ad un servizio
online per trasmetterli ad altri.

L’intervento dei nostri esperti è
volto anche a predisporre quelle
procedure atte a garantire la
portabilità dei dati in caso di
richiesta dell’interessato.

DIRITTO ALL’OBLIOIl Regolamento Europeo codifica il
diritto dell’interessato di chiedere
ai motori di ricerca di deindicizzare
una pagina web o chiedere ad un
sito web di cancellare informazioni.

Forniamo l’affiancamento necessario
per la richiesta a motori di ricerca o
social network di cancellazione dei
dat

PROFILAZIONEIl Regolamento Europeo sancisce il
diritto a non subire profilazioni
inconsapevoli mediante trattamenti
automatizzati.

Valutazione e individuazione di
eventuali trattamenti con
profilazione dell’utente mediante
sistemi automatizzati.

SPORTELLO UNICOL’interessato può rivolgersi
all’Autorità di protezione dei dati
del proprio Paese per segnalare
eventuali violazioni, qualunque sia
il luogo in cui il trattamento è
effettuato.

PQA fornisce l’assistenza necessaria
per segnalare eventuali violazioni,
qualunque sia il luogo in cui è
avvenuto il trattamento.

SANZIONIIl Regolamento fissa le sanzioni
pecuniarie amministrative massime
a 20 Milioni di Euro e fino al 4%
del fatturato globale annuo
mondiale