Consulenza sulla privacy GDPR, quando è necessaria?
Il Regolamento (UE) 2016/679, meglio noto come GDPR (General Data Protection Regulation), all'art. 1 – par. 2. riporta: “Il presente regolamento protegge i
Diritti e le Libertà Fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
Qualsiasi Azienda che in qualche maniera “tratta” dati personali e pertanto tenuta a rispettare tali diritti.
Il Regolamento GDPR prevede che vengano adottati particolari adempimenti e procedure da parte dei soggetti che trattano dati personali.
Il mancato rispetto di questi importanti adempimenti può far incorrere il Titolare o il Responsabile del trattamento dei dati in violazioni
previste dal Regolamento GDPR, con conseguenti rischi sanzionatori: fino a 20 Milioni di euro o fino al 4% del fatturato globale senza contare
che in determinate condizioni è previsto il risarcimento del danno all'interessato.
Cosa devono fare le aziende per non incorrere nelle sanzioni del GDPR?
È necessario realizzare un modello di trattamento dati basato sui dettami del GDPR, un vero e proprio sistema di gestione della protezione dei dati aziendali.
L'obiettivo della nostra attività di Consulenza Privacy-GDPR è appunto quello di affiancare l'azienda al fine di costruire questo modello per il trattamento e la protezione dei dati.
Assessment Data Protection e Gap Analysis
Un'attenta analisi, mirata all'individuazione dei processi, del contesto e delle misure di sicurezza adottate al trattamento dei dati personali, offre
la visione di quanto è stato fatto e quanto ancora c'è da fare per adeguarsi alla normativa sul GDPR e sulla protezione dei dati, sia di natura
obbligatoria sia volontaria.
Il nostro consulente si occupa pertanto della sintesi del sistema di gestione di protezione dei dati, dopo aver operato una iniziale analisi della
situazione aziendale in merito al trattamento dei dati, per arrivare all'assegnazione dei compiti all'interno dell'azienda stessa.
Affianchiamo pertanto l'azienda richiedente nelle seguenti attività:
- sintesi del Registro dei trattamenti dei dati personali, con attenzione alle particolari categorie dei dati personali;
- assegnazione dei compiti e delle responsabilità in riferimento ai trattamenti di dati effettuati;
- analisi dei rischi e Piano di trattamento del rischi;
- valutazione d'impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment), quando necessaria;
- redazione della procedura di Data Breach, da azionare in caso di violazione ai dati personali (Notifica Autorità Garante);
- redazione delle misure idonee di sicurezza, verifica, remediation plan e cronoprogramma;
- formazione ai responsabili e agli addetti al trattamento dei dati, in conformità all'art. 29 del GDPR (corso privacy Brescia).
DPIA e GDPR: chi ha l'obbligo di eseguire la valutazione
Per capire quali sono le realtà soggette alla DPIA (Data Protection Impact Assessment), è necessario analizzare l'Art. 35 del GDPR:
“Quando un tipo di trattamento allorché prevede in particolare l'uso di nuove tecnologie considerati la natura,
l'oggetto, il contesto e le finalità del trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche il titolare
del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.
Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
Dal precedente articolo emerge chiaramente che il soggetto cui spetta il compito di gestire il rischio che incombe sui dati personali e
valutarne il livello è il titolare del trattamento, coadiuvato dal supporto specialistico da parte del Responsabile della Protezione dei Dati (RPD
o DPO in inglese). Inoltre, come suggerito dallo stesso Garante, la conduzione materiale della valutazione di impatto può essere affidata ad un
altro soggetto, interno o esterno all'organizzazione, acquisendo, se i trattamenti lo richiedono, il parere di esperti di settore, del
responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) e del responsabile IT.
La nostra consulenza in materia di Privacy/GDPR non solo a Brescia
Offriamo la nostra consulenza in materia di Privacy-GDPR a Brescia e in tutto il nord Italia:
- Cremona
- Mantova
- Verona
- Bergamo
- Milano
- Piacenza
- Lodi
- Crema
Domande frequenti sul GDPR
Domanda: la valutazione del rischio privacy deve essere effettuata in tutte le realtà che trattano dati?
Risposta: di norma la risposta è sì, anche se deve essere finalizzata principalmente ad individuare i trattamenti “rischiosi” per i quali vanno innalzati il livello di presidi e accorgimenti, ferme restando le specifiche analis i dei rischi per la sicurezza informativa già svolte in azienda. Si ricorda che i l GDPR prevede infatti un approccio basato sul rischio per l’adempimento di diversi obblighi anche in tema di sicurezza (v. l’art. 32 applicabile anche al responsabile del trattamento), consistenti nell’adozione di misure tecniche e organizzative adeguate in base alla rischiosità del trattamento.
Domanda: con il nuovo GDPR, esiste ancora la figura del Responsabile interno del trattamento?
Risposta: no, nell'ambito del GDPR la definizione di “responsabile del trattamento” appare riconducibile e utilizzabile solo nei confronti di soggetti esterni all'organizzazione del titolare (posto che i responsabili sono tenuti a tenere un proprio registro dei trattamenti, a nominare eventualmente un DPO, ecc.). Resta ferma la possibilità di mantenere forme di delega e sub-delega interne al Titolare per l'attuazione degli obblighi normativi, ma tale figura di “delegato” non sarebbe inquadrabile in quella del Responsabile ex art. 28 (GDPR), con conseguente inapplicabilità dei relativi obblighi, come sopra ricordati (es. tenuta del Registro dei trattamenti).
Domanda: qual è il livello di dettaglio delle informazioni da inserire nel Registro dei Trattamenti, con particolare riguardo alle misure di sicurezza tecniche e organizzative? Tali misure possono essere descritte mediante rinvio a documenti esterni (ad esempio documenti di valutazione del rischio o della PIA in cui le misure di sicurezza sono già espresse)?
Risposta: sì, nel Registro dei Trattamenti le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. valutazione del rischio, etc.).
Domanda: per adempiere a quanto previsto dall'art. 28, comma 2 del GDPR, è possibile mantenere l'elenco nominativo aggiornato dei subfornitori operanti quali ulteriori responsabili, ad esempio in una sezione dedicata del sito internet, invitando i clienti a consultare periodicamente le suddette informazioni?
Risposta: sì, questa forma di comunicazione appare possibile ma è consigliabile prevedere almeno l'invio di una comunicazione ai clienti sull'intervenuto aggiornamento dell'elenco, con aggiunta o sostituzione di sub responsabili.
Domanda: una volta riviste le vecchie lettere di nomina del responsabile del trattamento per adeguarle nella forma e nei contenuti del GDPR, è opportuno richiedere la loro accettazione anche ai clienti pregressi?
Risposta: sì, è necessario sottoporre le nuove clausole contrattuali, contratti e accordi in relazione alla disciplina degli obblighi del fornitore quale responsabile del trattamento scambiati pure per corrispondenza, come le precedenti lettere) anche ai clienti preesistenti (ove il rapporto perduri al 25 maggio 2018, data di entrata in vigore del GDPR e non vi siano stati rinnovi o modifiche prima). Posto che non dovrebbe trattarsi di contratti per i quali è richiesta la forma scritta, ove si tratti
di documenti in formato elettronico, possono essere utilizzate modalità semplificate di
accettazione anche on line.
Azienda certificata ISO 9001:2015