Reg. (EU) 2016/679 GDPR

Compliance General Data Protection Regulation (GDPR)

Del GDPR (Reg. (UE) 2016/679) si sono dette molte cose, ma troppo poco di frequente viene posto in evidenza il suo essere una legge sostanzialista: non interessa insomma che il Titolare o il Responsabile del Trattamento producano carta, quanto, piuttosto, che i dati da essi trattati siano effettivamente protetti.

Cos’è il GDPR

Una serie di documenti che devono essere approntati ed essere messi a disposizione delle Autorità di controllo, è vero; ma più di tutto è l’attività di costruzione di  misure di sicurezza adeguate, sia tecnologiche che organizzative, e la possibilità di dare evidenza sempre e a chiunque della loro efficacia: “accountability”.

Poco senso ha parlare di legge sulla privacy, il Regolamento è una sofisticata normativa sulla Data Protection (Protezione delle persone fisiche con riferimento ai loro dati personali, recita la norma) che pone gli aspetti di sicurezza al centro della scena. Per cui le vecchie misure minime di sicurezza lasciano il posto a quelle adeguate.

Le aziende devono, pertanto, affrontare il tema dell’adeguamento normativo, avendo come teatro di riferimento non solo l’Italia, ma tutti gli Stati membri dell’Unione Europea in cui operano.

Le fasi del lavoro

1 Analisi Preliminare

Ci conosciamo e ci racconti di cosa si occupa la tua azienda, questa fase è di vitale importanza per conoscere le dinamiche aziendali, quali dati vengono trattati, da chi, in che modo, a chi eventualmente vengono comunicati sia in Europa che fuori dai confini dell’Unione, insomma una fase veramente fondante di tutto il lavoro successivo.

Nei fatti è un vero e proprio Audit e può essere gestito differentemente anche a seconda delle dimensioni aziendali organizzando delle vere e proprie interviste.

2 Assessment

Entriamo nel dettaglio dei trattamenti, dei tipi di dati, dei soggetti interessati e redigiamo le informative. In questa fase utilizzando un apposito programma andremo a definire ogni trattamento, specificando se avviene in qualità di titolare o di responsabile.

Andremo a definire per ciascun trattamento i tipi di dati trattati, siano essi comuni, particolari ex art. 9 o particolari giudiziari ex art. 10 del GDPR. Quindi per ciascun trattamento indicheremo quali sono i soggetti interessati. Infine per ciascuno di essi stileremo la dovuta informativa.

3 Analisi di dettaglio

Nella terza fase ci concentriamo su quella che chiamiamo amichevolmente la mappatura della struttura. Verifichiamo qui l’aderenza all’articolo 32 del GDPR che parla di misure tecnico organizzative adeguate a garantire la sicurezza dei dati personali trattati.

Quindi questa è la fase in cui mappiamo le varie sedi, gli uffici, e soprattutto analizziamo la struttura informatica e gli archivi cartacei. Sfruttiamo qui venti anni di esperienza nel settore informatico, per analizzare quello che è lo stato della data protection aziendale.

4 Analisi del Rischio

Privacy by Design: non è un vezzo, ma una precisa richiesta normativa, per capire quale sia la criticità della nostra struttura dopo averne definite le caratteristiche, dobbiamo condurre un risk assessment dettagliato per sedi, uffici, archivi e trattamenti.

Vale a dire per ciascuna di queste voci andremo a definire i rischi potenziali (che cambiano a seconda di cosa analizziamo sia esso un trattamento o un armadio di legno o un computer), poi per ciascuna voce andremo a definire con un algoritmo certificato il rischio residuale.

5 DPIA

La DPIA non per tutti è obbligatori, sicuramente per la maggior parte delle situazioni potrebbe non essere necessaria, tuttavia eseguiamo sempre una DPIA su richiesta dell’assicurazione che certifica la nostra consulenza e la rende così garantita.

Pertanto, definiamo le ulteriori misure di minimizzazione dei rischi prese e da prendere a stretto giro di posta. In questo modo si punta ad abbassare il rischio del trattamento, chiaro è che all’analisi devono seguire delle azioni reali.

6 Formazione

Anche la formazione è un preciso obbligo di legge. Fa parte del concetto stesso di accountability di quel complesso di fiducia e responsabilizzazione che deve essere messo in atto per ottenere una assoluta consapevolezza di quel che si fa coi dati.

Per questo è necessario formare il board perché prenda decisioni che siano fondate su basi corrette e non tratti i dati con leggerezza. Così come è necessario formare tutti gli addetti, interni e se disponibili esterni, perché sappiano come operare correttamente e cosa fare in caso di necessità.

Come possiamo aiutarti

Jaera affianca Titolari e Responsabili del trattamento nell’adempimento delle prescrizioni normative derivanti dal Regolamento UE tra cui:

Redazione delle
informative

Contrattualistica nei
confronti Responsabili
del trattamento

Definizione di ruoli
e responsabilità

Redazione dei registri
dei trattamenti

Rispetto della protezione
dei dati ed analisi misure di sicurezza adeguate

Sicurezza dei dati e notifiche
e comunicazione di violazione dei dati (Data Breach)

Valutazione di impatto
sulla protezione dei dati
(DPIA)

Trasferimenti di dati transfrontalieri

Analisi siti web
e cookies

Regolamentazione degli strumenti idonei al controllo dei dipendenti

Verifica contratti
di cloud computing

Politica di
conservazione dati

Redazione di procedure
per il trattamento dati

Gestione delle informazioni
fra Titolare, Responsabile
e DPO

Corsi di formazione

Hai bisogno di maggiori informazioni?
Consulta la nostra sezione dedicata alle domande frequenti!

AREA FAQ

Contattaci per avere
una consulenza dedicata

Compila il form oppure scrivi a info@jaera.it, ti risponderemo al più presto!