parallax background
 

Cosa facciamo

5 PASSI per l’attuazione della GDPR con oneprotection


Oneprotection si avvale di professionisti esperti in direzione e management delle aziende pubbliche e private, persone che hanno maturato un alto livello di conoscenza specialistica che abbraccia le competenze tecnico-informatiche, comunicative, manageriali e giuridiche oggi necessarie per il governo delle realtà complesse come le imprese e il mondo delle professioni.
Assicura il suo sforzo per offrire i migliori servizi di consulenza e/o supporto all’imprenditore e al professionista ma distingue le prestazioni da rendere in funzione del tipo e delle dimensioni del soggetto beneficiario della convenzione. Opera allora come il sarto che realizza un abito su misura.
Le prestazioni aggiuntive rispetto alla consulenza base sono comunque, pur se eventuali per alcuni clienti, molto utili e raccomandate dalla Autorità di controllo per favorire la logica del sistema normativo privacy, la creazione cioè di una comunità di operatori economici tutti, piccoli e grandi, competenti in materia di protezione dei dati. Il servizio stipulato è inoltre a tempo indeterminato nella consapevolezza di entrambe le parti della convenzione che non basta, in una ottica di miglioramento continuo, raggiungere la conformità legale (compliance) al GDPR se poi non si è in grado di mantenerla nel tempo. L’obiettivo genera infatti una tensione verso il risultato atteso ma non prevede, se non rebus stantibus, la sua definitiva acquisizione.
Descrizione del servizio Il metodo di lavoro è quello suggerito da W.E. Deming. Il servizio si articola su tre livelli che non si sovrappongono ma, in prospettiva di crescita, si compenetrano.
I primi due possono essere acquistati, a seconda dei bisogni, anche solo parzialmente.
La Convenzione 1 Consulenza base Gap analysis Analisi puntuale e dettagliata della reale posizione del cliente alla luce della legge sulla protezione delle persone fisiche, sul trattamento dei dati personali e sulla loro libera circolazione Analisi del rischio Analisi del rischio e selezione delle misure e procedure per il corretto trattamento dei dati personali con la speciale attenzione alla responsabilità del titolare del trattamento Modelli di documenti interni Verifica e aggiornamento dei modelli degli atti di nomina del personale interno Modelli di documenti pubblici Redazione dei modelli dei contratti e degli atti di individuazione dei responsabili e incaricati esterni Informativa privacy Revisione dei modelli delle informative sul trattamento dei dati personali Definizione delle clausole contrattuali Definizione in astratto delle clausole da apporre nei rapporti contrattuali per le pratiche in outsourcing Modello del registro dei trattamenti Creazione, ove occorra, del modello del registro dei trattamenti … 2 Pacchetto avanzato (oltre alla Consulenza base) Predisposizione del documento di rischio Predisposizione del documento di rischio, verifica della sussistenza di servizi in contitolarità, ricerca implementazione e verifica delle misure di sicurezza, valutazione in merito agli aspetti della privacy by design (la architettura aziendale della protezione dei dati personali) e della privacy by default (la risposta predefinita per la loro sicurezza) DPIA (Valutazione di impatto) Analisi delle fattispecie oggetto di valutazione di impatto privacy Attività di formazione sul GDPR Formazione del personale sul GDPR tramite esperti della materia Assistenza su esecuzione delle azioni individuate Assistenza e consulenza telefonica da parte di personale specializzato Redazione di un codice di condotta Redazione di policy per il trattamento dei dati Pareri scritti Risposta a quesiti specifici e rilascio di pareri, anche per iscritto e pro veritate, di avvocati competenti Fornitura software privacy Fornitura del software privacy con rete cloud computing per la gestione integrata degli adempimenti e guida all’uso Sito web Studio e indicazioni per la conformità del sito web al GDPR Videosorveglianza Telecamere di sorveglianza, studio e informazioni per la conformità al GDPR Assistenza informatica Assistenza informatica ad hoc mediante personale specializzato Visite in azienda Internal auditing … 3 Nomina del RPD (Responsabile della protezione dei dati) Informazione e consulenza al titolare del trattamento e al resposabile del trattamento, nonché ai loro dipendenti, in merito agli obblighi in materia di privacy Sorveglianza sulla osservanza del GDPR, delle altre disposizioni dell’Unione o degli Stati membri e delle politiche del titolare e del responsabile in materia di privacy, ivi compresa la attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale Se richiesto, fornitura di un parere in merito alla valutazione di impatto privacy e sorveglianza dello svolgimento Cooperazione con l’Autorità di controllo Funzione di punto di contatto per l’Autorità di controllo e per gli interessati … A tutti i livelli descritti Oneprotection valuta il rischio, propone un modello di mitigazione del rischio e misura il rischio residuo. Agisce, come anticipato, secondo il metodo di Deming e dunque pianifica la azione e la mette in pratica, la sorveglia e, a seconda del risultato, la conferma o corregge (lezioni apprese). Si tenga presente che la pianificazione riguarda, e così i successivi passaggi, solo una parte dell’intero problema: si vuol dire che la soluzione del problema prevede, fin dall’inizio, una definizione graduale e una continua approssimazione della realtà alla situazione ideale. Il desiderio di immediata realizzazione di un compiuto sistema privacy al contrario è, in quanto irrealistico, destinato al fallimento. È infatti mostruoso e innaturale tutto ciò che, per affermarsi, non cresce. Oneprotection propone, per gestire la privacy, un sistema di gestione della sicurezza delle informazioni (SGSI) in accordo con gli standard di sicurezza della famiglia serie 27000. Si propone altresì di evidenziare, nel contesto di impresa, la leadership e l’impegno; i ruoli, la responsabilità e la autorità di ciascuno nella organizzazione data per affrontare i rischi e, in mezzo a essi, cogliere le opportunità. Il rischio verrà quindi (A) rilevato. Verrà (B) valutato. E infine (C) trattato.

SENSIBILIZZARE

Aumentare la conoscenza del GDPR nella Azienda

IDENTIFICARE

GAP ANALYSIS
Analisi della situazione aziendale

PIANIFICARE

MODELLI ORGANIZZATIVI
Redazione di un piano di intervento RGDP

AGIRE

PROGETTAZIONE MODELLI
Mettere in atto quanto pianificato

DIMOSTRARE

REDAZIONE DOCUMENTI PRIVACY
Dimostrazione di conformità alla normativa

SENSIBILIZZARE - ACCOUNTABILITY

Il regolamento sposta il fulcro della normativa privacy dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento (responsabilizzazione, anche se la traduzione italiana non rende giustizia al concetto così introdotto perché accountability vuol dire "dover rendere conto del proprio operato"), che si concretizza nella adozione di comportamenti proattivi a dimostrazione della reale (e non meramente formale) osservanza del regolamento.
Non è più accettabile dunque un approccio formalistico, quello ad esempio per cui 'ho il consenso e tratto il dato', visto che il consenso è al massimo una base che legittima il trattamento, ma resta sempre la responsabilità del titolare di proteggere l'interessato e la intera società dai rischi insiti nel trattamento.
In particolare evidenziamo la necessità di attuare misure di tutela e garanzia dei dati trattati con un approccio del tutto nuovo, che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel regolamento. Ciò sarà possibile tenendo presente:
- il principio de "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, il trattamento cioè dovrà prevedere da subito le garanzie di tutela dei diritti degli interessati;
- il rischio del trattamento, inteso come la valutazione dell'eventuale impatto negativo della attività svolta sulle libertà e sui diritti degli interessati.
Si segnala inoltre una autorevole opinione secondo la quale l'approccio del GDPR, incentrato come detto più sulla protezione dei dati che sull'utente medesimo, rappresenta in certo qual modo un passo indietro rispetto alla precedente normativa.
In ogni caso si tratta di un approccio basato sulla valutazione del rischio (risk based), con cui si determina la misura di responsabilità del titolare o del responsabile del trattamento tenendo conto della natura, della portata, del contesto e delle finalità del trattamento stesso, nonché della probabilità e gravità di danno per i diritti e le libertà degli utenti.
Un approccio risk based ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici. Un tale approccio, però, ha lo svantaggio di delegare alla azienda la valutazione del rischio, rendendo più difficile la difesa in caso di contestazione; inoltre considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto, presumendo che i diritti di un adulto siano meno importanti e sacrificabili di fronte a quelli del bambino; e pone altresì maggiore attenzione al trattamento di un grande insieme di dati, mentre è pacifico che anche il trattamento di pochi dati può comportare un grave danno ai singoli.
È, quindi, un approccio che tiene in maggiore considerazione le esigenze delle aziende rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche alla complessità della organizzazione.
Le nuove norme prevedono:
- per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e alle finalità e modalità di trattamento degli stessi;
- un diritto alla portabilità dei dati, che consentirà di trasferire i dati personali tra i vari servizi online;
- la istituzionalizzazione del cosiddetto diritto all'oblio (definito come diritto alla cancellazione nel regolamento), in conformità a quanto previsto dalla Corte di Giustizia Europea, che consentirà di chiedere e ottenere la rimozione dei dati quando viene meno l'interesse pubblico alla notizia;
- l'obbligo di notifica da parte delle aziende delle gravi violazioni dei dati dei cittadini;
- le aziende dovranno rispondere alla sola Autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico);
- sanzioni amministrative fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme.

Base giuridica del trattamento

Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio, il consenso dell'interessato) e documentarla in quanto in relazione alla base giuridica possono variare i diritti dell'interessato.

 

Infatti è stato rafforzato il diritto alla cancellazione dei datti nel caso di trattamenti basati sul consenso. Il consenso è, però, solo una delle sei basi giuridiche previste per il trattamento. Pertanto è preciso dovere del titolare valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. Inoltre la base giuridica rientra negli elementi essenziali della informativa e deve essere evidenziata in riscontro a una istanza di accesso.

Trasparenza e conformità al regolamento

Il nuovo regolamento pone l'accento sul principio della trasparenza, in una ottica di rispetto delle finalità prestabilite dal titolare.

Occorre quindi valutare attentamente gli scopi del trattamento, in modo da stabilire correttamente quali dati possono essere trattati e quali no (principio di minimizzazione). Il regolamento europeo prevede altresì tutta una serie di obblighi proattivi, a dimostrazione della concreta e non meramente formale applicazione di esso.
In tale ottica la predisposizione e l'aggiornamento della documentazione è essenziale, perchè rappresenta il primo indice della corretta implementazione delle norme. E allora:

- documentazione attestante i trattamenti svolti (registro dei trattamenti; eventuale valutazione di impatto, trasferimento dei dati extra UE);
- documentazione attestante il rispetto dei diritti degli interessati (informative, moduli di raccolta del consenso);
- documentazione di ripartizione di ruoli e responsabilità (contratti e nomine dei responsabili esterni e incaricati; procedure interne, ecc.);
- documentazione attestante le misure di sicurezza adottate.

Ambito di applicazione

Il Regolamento generale si applica ad ogni "trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi".
In tale prospettiva il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche (tranne poche eccezioni).
Quindi solo le persone fisiche possono essere interessate al trattamento e non anche le persone giuridiche.

Per quanto riguarda l'ambito territoriale, il regolamento si applica ad ogni trattamento che ha ad oggetto dati personali e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio della Unione Europea e in generale a quelli che, offrendo beni e servizi a persone residenti nella Unione, trattano i dati dei residenti nella Unione Europea (art. 3 del GDPR).

In tal modo la sua applicazione non è limitata alle sole aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio della Unione indipendentemente da dove si attui il trattamento dei loro dati.

Il regolamento viceversa non si applica nei seguenti casi:
- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto della Unione;
- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo II, del Trattato della UE (Politica estera e di sicurezza);
- trattamenti effettuati dalle Autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o per la esecuzione di sanzioni penali, inclusa la salvaguardia dalle minacce alla sicurezza pubblica e la prevenzione delle stesse (vedi Direttiva n. 2016/680);
- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (vedi la esenzione per uso personale).

Il GDPR come vantaggio competitivo

Le aziende hanno ormai pochi mesi a disposizione per definire ed indirizzare i propri investimenti verso adeguati strumenti informatici e procedurali che consentano di governare al meglio il processo che porta alla compliance. Questo però è soprattutto il momento giusto per trasformare un obbligo di legge in un vantaggio competitivo.

Cogliere la opportunità di adottare misure tecniche e organizzative che, oltre a garantire il rispetto della normativa e ridurre il rischio di pesanti sanzioni, accrescano il livello di sicurezza e la continuità operativa, significa trarre enormi vantaggi sotto il profilo della credibilità e della immagine aziendale.

In una epoca in cui i dati personali costituiscono un asset chiave e un business driver, la giusta strategia sulla privacy può attribuire alla azienda un vantaggio competitivo rispetto agli altri competitor.

Le informazioni personali sono una delle risorse più preziose delle organizzazioni: una gestione impeccabile di questi dati, che garantisca a clienti e partner di sapere con certezza e trasparenza cosa si sta facendo con le loro informazioni e, laddove richiesto, che è stato ottenuto il loro consenso per utilizzarli, li porterà ad avere o rafforzare la fiducia nella azienda e a preferirla rispetto alle altre che non riescono ad assicurare uguale efficacia.

Ciò perché, in una economia sempre più basata sulla fornitura di servizi e sulla condivisione dell’utilizzo dei beni, la privacy rimarrà uno dei pochi beni di proprietà del singolo, che sarà quindi portato a preferire chi può provare la propria capacità di proteggere i suoi dati.

Vuoi fissare un incontro con i nostri esperti?

Contattaci