Consulenza GDPR
La consulenza organizzativa di Sinergest per adeguarti al GDPR,
finalizzata all’implementazione di un Sistema di protezione per i dati personali
Che cosa è il GDPR?
Il 25 Maggio 2018 è entrato in vigore il Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il GDPR (General Data Protection Regulation) cambia profondamente la prospettiva in cui si colloca il diritto alla protezione dei dati personali: un diritto fondamentale e costituzionale, configurato come diritto alla autodeterminazione informativa.
Cosa deve fare l'azienda?
Molti sono gli obblighi per le imprese, che vogliono adeguarsi dal punto di vista legale e organizzativo.
– Informative chiare e comprensibili: l’informativa e il consenso al trattamento dei dati assumono un ruolo centrale.
Tali informative devono essere elaborate dalle aziende nel modo più chiaro e comprensibile, al fine di potere ottenere un valido consenso.
Ogni individuo ha inoltre il pieno diritto di richiedere alle aziende di tracciare, modificare, cancellare o trasferire i suoi dati personali: le imprese hanno bisogno di strumenti adeguati per dimostrare la rapidità di processamento delle richieste.
– Digitalizzazione dei dati e tracciabilità del loro utilizzo: le aziende sono obbligate a tenere un registro dei trattamenti, che riporti tutte le attività relative al trattamento dei dati svolte dal titolare. I requisiti di tale registro sono elencati all’art. 30 del testo del GDPR. Il registro dovrà essere a disposizione su richiesta dell’autorità di controllo.
– Implementazione metodologie di “privacy by design” per la valutazione del rischio (con l’adozione di comportamenti in grado di assicurare la tutela della privacy sin dall’inizio del processo) e di “privacy by default” (implementazione di strumenti che possano ridurre al minimo il trattamento dei dati).
– Notifica tempestiva di eventuali rischi sui dati. Il Regolamento introduce la necessità di gestire con tempestività eventuali casi di ‘data breach‘, ovvero di “violazioni” da parte di terzi, inviando notifica entro 72 ore alle autorità locali competenti e alle persone interessate.
Le aziende devono dotarsi di misure specifiche atte a garantire la sicurezza dei dati, facendo particolare attenzione ai rischi presentati dal trattamento dei dati riguardo a modifica, perdita, distruzione e divulgazione non autorizzata dei dati personali.
– Eventuale nomina DPO (Data Protection Officer), figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, il quale deve essere nominato non solo nelle pubbliche amministrazioni, ma anche nelle imprese che richiedono il monitoraggio sistematico di grandi quantità di dati o di dati sensibili.
La violazione delle disposizioni e l’inosservanza di un ordine da parte dell’autorità di controllo possono prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.
Sono già numerosi i casi di data breach che hanno evidenziato inadeguata attenzione alle regole del GDPR.
Inoltre l’articolo 58 fornisce alle autorità di controllo la possibilità di avvalersi di alcuni poteri correttivi tra cui la limitazione o il divieto di trattamento dei dati.
Sinergest è in grado di fornire un supporto completo alle aziende ai fini del recepimento della normativa e delle sua implementazione.
Il servizio di consulenza GDPR offerta da Sinergest alle aziende ha l’obiettivo di accompagnare il cliente nel percorso di interpretazione dei requisiti della normativa in ambito privacy attraverso l’implementazione di un sistema di gestione.
Nell’ambito della consulenza offerta, l’azienda ha modo di riesaminare la gestione di tutti i propri processi interni e, sulla base dei requisiti della normativa, ne ri-progetta i nuovi ottimizzando le risorse, attrezzature e strumenti a disposizione.
Sinergest al tuo fianco
1
Fase preliminare
- Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso
- Comprensione dell’infrastruttura HWSW
- Creazione del registro dei trattamenti
- Analisi delle Vulnerabilità Informatiche, fisiche e organizzative e misure di sicurezza
- Analisi dei rischi (PIA) (opzionale a seguito dell’identificazione dei rischi residui medio-alti)
- Analisi per valutazione obbligatorietà, eventuale individuazione e nomina di un Data Protection Officer (DPO)
- Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento interno ed esterno
2
Fase operativa
- Stesura/Modifica della documentazione di sistema
- Definizione delle politiche di sicurezza e gestione dei rischi informatici
- Definizione delle politiche di sicurezza e gestione dei rischi fisici e organizzativi
- Informative
- Procedura gestione data breach
- Procedura gestione visite ispettive da parte degli organi di controllo
- Procedura gestione istanze degli interessati
- Procedura data retention
- Gestione dell’Amministratore di Sistema (AdS)
- Monitoraggio e controllo
Analisi
L’attività è finalizzata alla comprensione del contesto aziendale, all’esame della normativa Privacy, alla definizione di ruoli e responsabilità, allo studio dei processi interni finalizzato a determinare i fattori e i requisiti che possono aver impatto sul sistema di gestione GDPR, e i relativi rischi e opportunità per l’efficacia del sistema stesso.
Progettazione
Sviluppo
L’attività è finalizzata allo sviluppo della documentazione necessaria alla corretta implementazione del sistema GPDR. L’impianto documentale necessario per la definizione delle regole del sistema è composto essenzialmente da un manuale, da procedure e Documenti per il controllo e la gestione e ogni altra tipologia necessaria al fine di dare evidenza della conformità alla normativa di riferimento da parte dell’organizzazione.
Formazione
Servizio di Assistenza Sistema GDPR
In seguito dell’implementazione del Sistema GDPR, , l’azienda è tenuta ad un costante aggiornamento della documentazione emessa, sia a fronte dei cambiamenti del contesto interno che esterno (cambiamenti tecnici funzionali – nuovo personale o nuove modalità gestionali, aggiornamenti normativi cogenti).
Sinergest offre un contratto di assistenza programmata al fine di supportare le aziende nella corretta applicazione e mantenimento del sistema di gestione GDPR con il chiaro obiettivo di migliorare costantemente il sistema di gestione in linea con gli sviluppi tecnologici, normativi e i cambiamenti aziendali.
Sulla base di un programma concordato con il cliente, i consulenti Sinergest svolgono attività di assistenza sui sistemi di gestione,
mettendo a disposizione la propria esperienza e la propria professionalità nelle attività di:
Aggiornamenti normativi
Supporto
nelle attività
di formazione
Supporto nella revisione della documentazione
Supporto nel monitoraggio dei fornitori
Il servizio di assistenza offerto da Sinergest viene garantito da professionisti in grado di assicurare la migliore efficienza
ed efficacia dei sistemi di gestione qualità ed una costante confidenza sulle vigenti normative.
Il servizio dà diritto a:
– Assistenza telefonica gratuita
– Aggiornamenti normativi via e-mail
– Sconto 20% corsi di formazione organizzati da Sinergest