Il Regolamento UE n.2016/679 (Regolamento Generale sulla Protezione dei Dati o GDPR), entrato in vigore il 24 maggio 2016 ed applicabile a partire dal 25 maggio 2018, rappresenta un punto di svolta rispetto all’intera materia della Data Protection.
Il GDPR impone nuovi e stringenti obblighi di compliance a carico delle imprese che trattano dati personali e prevede un approccio legato alla specificità del contesto aziendale differenziato in base alla natura, all’oggetto e alle finalità dei singoli trattamenti effettuati, nonché sulla base dei rischi che da essi possono derivare.
IL GDPR, a differenza della precedente normativa, non definisce un livello minimo di sicurezza ma esige un approccio risk based, ossia misure tecniche e organizzative adeguate in relazione ai rischi insiti nel trattamento ed agli eventuali impatti che tali rischi possono causare alla protezione dei dati, e un approccio “privacy by design”, ossia l’adozione e l’attuazione di misure tecniche e organizzative fin dal momento della progettazione di qualsiasi processo che implichi un trattamento dati.
E’ inoltre fondamentale considerare adeguatamente il principio di accountability (o rendicontazione) introdotto dalla nuova normativa in base al quale l’azienda dovrà dimostrare (evidentemente tramite idonea documentazione del processo decisionale) le valutazioni e le motivazioni alla base di ogni presidio riguardante la gestione della protezione e sicurezza dei dati personali.
Analisi accurata
delle tue esigenze
Gestione rapida
delle richieste
Aggiornamento continuo
dei servizi sulle normative
Affidabilità
e contatto personale
La Total Service vanta oltre 15 anni di esperienza nel settore Privacy ed affianca quotidianamente Titolari e Responsabili del Trattamento nell’adempimento delle prescrizioni normative derivanti dal Regolamento Privacy. Le attività che vengono svolte per i nostri clienti sono:
- Audit di verifica di conformità aziendale
- Supporto consulenziale e monitoraggio durante tutta la durata contrattuale
- Predisposizione Registri del Trattamento come Titolare e come Responsabile
- Definizione Ruoli e Responsabilità
- Audit di verifica per i Responsabili del Trattamento
- Stesura delle varie informative
- Redazione Modello Organizzativo Privacy
- Redazione Procedure Interne
- Redazione Valutazione di Impatto
- Redazione Regolamento Strumenti Elettronici
- Consulenza in ambito di Misure di Sicurezza
- Assistenza in caso di notifica/comunicazione Data Breach
- Messa a norma Impianti Videosorveglianza
- Messa a norma sistemi di Geolocalizzazione
- Messa a norma Siti Internet
Tutta la documentazione viene resa disponibile sia in formato cartaceo che elettronico (nell’area riservata del Software DPO Total Privacy Protector).
Figura/e di riferimento
Eleonora Luciani
- Socio e amministratore unico
- DPO certificato UNI 11697:2017
- Consulente e responsabile ufficio privacy
- Sviluppatrice software DPO Total Privacy Protector
- Coordinatrice servizio antiriciclaggio
- Coordinatrice servizio sicurezza sul lavoro
Tania Luciani
- Tecnico Ufficio Privacy
- Referente demo software DPO Total privacy protector
Domande frequenti per
il settore Privacy
La liceità del trattamento dati consiste nell’obbligo di utilizzare i dati forniti dagli utenti nel pieno rispetto delle leggi.
Secondo le disposizioni del Regolamento Europeo n. 2016/679 (art. 6), il trattamento dei dati è lecito al verificarsi di almeno una delle seguenti condizioni:
- l’interessato ha espresso esplicitamente e liberamente il proprio consenso al trattamento dati, per una o più finalità;
- i dati vengono trattati al fine di adempiere agli obblighi di un contratto di cui l’interessato è parte
- i dati vengono trattati al fine di osservare un obbligo di legge a cui è tenuto il titolare;
- il trattamento è necessario alla salvaguardia della persona interessata o di terzi;
- sussistono motivi rilevanti per l’interesse pubblico o per l’esercizio di pubblici poteri;
- si persegue un interesse legittimo del titolare o di altra persona qualora prevalente rispetto ai diritti dell’interessato.
No, se questo è stato espresso secondo modalità conformi alle condizioni del regolamento.
Con il termine data breach si intende la violazione (intenzionale o involontaria) della riservatezza, integrità e disponibilità dei dati (RID).
Secondo le disposizioni del GDPR, in caso di data breach, il titolare del trattamento dati deve dare comunicazione della violazione alle autorità di controllo entro 72 ore dal momento in cui è venuto a conoscenza dell’accaduto. Se titolare e responsabile ritengono che i rischi per gli interessati siano alti, devono provvedere nel minor tempo possibile ad informare gli utenti della violazione.
Al contrario, non è necessario effettuare alcuna comunicazione se la violazione dei dati non comporta un rischio per i diritti e la libertà dell’interessato.
Tutte le violazioni (anche se non gravi) devono essere opportunamente riportate nel registro per il trattamento dati; in tale registro occorre riportare anche le conseguenze e i provvedimenti adottati. Il mancato rispetto degli adempimenti relativi al data breach può comportare sanzioni amministrative fino a 10 milioni di euro oppure fino al 2% del fatturato mondiale dell’azienda, relativo all’esercizio precedente.
L’art. 30 del Regolamento Europeo n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
E’ un documento contenente imprescindibili informazioni (specificatamente individuate dall’art. 30 del RGPD) e rappresenta uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve essere disponibile sia in forma scritta che elettronica, e deve essere esibito su richiesta al Garante.
Il Gruppo di lavoro Art. 29 ha puntualmente identificato e specificato casi in cui la DPIA è obbligatoria:
- trattamenti valutativi o di scoring, compresa la profilazione;
- decisioni automatizzate con effetti giuridici;
- monitoraggio sistematico (es. videosorveglianza);
- trattamento di dati sensibili, giudiziari o estremamente personali;
- trattamento di dati personali su larga scala;
- “Big Data”;
- Trattamento di dati di soggetti vulnerabili;
- utilizzo di tecnologie innovative (es. riconoscimento facciale);
- trattamenti che potrebbero impedire agli interessati di esercitare un proprio diritto, di usufruire di un servizio o di stipulare/onorare un contratto
L’oggetto della certificazione può variare in misura considerevole e può comprendere sia una sola operazione di trattamento (es. la conservazione di dati personali) sia più operazioni (es. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento.
Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere ad oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda).
Per ottenere una certificazione basata su uno schema approvato dal Garante per la Protezione dei Dati Personali (GPDP) occorre rivolgersi agli organismi di certificazione (OdC) accreditati da “Accredia” in base alla norma tecnica ISO/IEC 17065:2012 ed ai requisiti aggiuntivi stabiliti dal Garante.
La norma UNI 11697:2017 e la Prassi di riferimento UNI/PdR 66:2019 definiscono, rispettivamente, i requisiti di competenza e le regole per la valutazione della conformità di alcune figure professionali che operano nel settore del trattamento e della protezione dei dati personali: Responsabile della protezione dei dati, Manager Privacy, Specialista Privacy e Valutatore Privacy.
In quanto orientata alla certificazione di profili professionali, tale certificazione non rientra tra quelle disciplinate dall’art. 42 del Regolamento Generale per la Protezione dei Dati Personali (GDPR), ma può rappresentare comunque, al pari di altri titoli, un valido strumento ai fini della dimostrazione del possesso, e del mantenimento, delle conoscenze, delle abilità e delle competenze dei professionisti.
