Se vuoi saperne di più scarica il regolamento completo in italiano oppure continua la lettura

COSA DEVONO FARE LE AZIENDE

L’obbligo, in alcuni casi, di nominare un responsabile della protezione dei dati. Il DPO (Data Protection Officer), avrà il compito di verificare l’attuazione e l’applicazione della normativa, così come informare e consigliare il Responsabile del trattamento in merito agli obblighi derivanti dal Regolamento.

Il nominativo del DPO deve essere comunicato al Garante della Privacy, tramite opportuna procedura telematica e tramite opportuno modello di comunicazione (Art. 37 del GDPR 679/2016).
I responsabili dei dati devono informare le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui entro 72 ore.

In caso di data breach, dovranno essere informate nel più breve tempo possibile anche tutte le persone coinvolte. Secondo le più recenti statistiche il periodo medio in Italia per la segnalazione è oggi di 700 giorni!

È opportuno istituire procedure che sostengano sia il diritto di portabilità dei dati– cioè la possibilità di ogni individuo di trasmettere i propri dati personali a un altro ente, senza impedimenti – sia il diritto all’oblio, cioè la facoltà di interrompere il trattamento dati non più pertinenti o necessari mediante revoca del consenso.

A CHI SI RIVOLGE LA GDPR

Tutte le Pubbliche amministrazioni e tutte le PMI con sede nell’Unione Europea, oppure aziende con sede in altri paese al di fuori dell’Unione Europea ma che trattano dati dei cittadini di uno stato membro.

COSA BISOGNA FARE

Valutare 3 aspetti:
– analisi dei rischi (interna e informatica)
– formazione
– certificazione

L’ ANALISI DEI RISCHI

1. Individuare i Responsabili Privacy – Art. 4 del GDPR
2. Formulare incarichi formali mediante lettera di incarico che evidenzi compiti e responsa- bilità;
3. Formulare le nomine agli incaricati e comuni- carle al garante della privacy;
4. Stilare un organigramma aziendale;
5. Valutazione dei Rischi Privacy presenti in azienda (PIA: Privacy Impact Assessment): Realizzazione di un piano interno che preveda come mitigare il singolo rischio e individui coloro che sono incaricati di operare in tal senso. Questo planning operative deve essere costantemente monitorato e avrà impatto sul Privacy Impact Assessment successivo (uno/due all’anno potrebbero essere sufficienti) in cui si andranno ad evidenziare i miglioramenti ottenuti e le eventuali ulteriori rischiosità subentrate.
Un PIA è disegnato per raggiungere normalmente tre obiettivi:
a. Garantire la conformità con le normative, e requisiti di politica legali applicabili per la privacy;
b. Determinare i rischi e gli effetti che ne conseguono;
c. Valutare le protezioni e eventuali processi alternativi per mitigare i potenziali rischi per la privacy.
6. Creazione di un Registro del Titolare dei Trattamenti (sia cartaceo che elettronico);
7. Creazione di un Registro del Responsabile del Trattamento (sia cartaceo che elettronico);
8. Integrazione di un sistema informatico che per la gestione integrata del PIA, degli organigrammi e dei registri;
9. Il Data Breach: cosa fare in caso di violazione dei dati. I responsabili dei dati devono informare le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui entro 72 ore.
10. Il DPO: quando e se è necessario nominarlo.

LA FORMAZIONE

1. Formazione del Titolare del Trattamento dei Dati
2. Formazione del Contitolare del Trattamento dei Dati
3. Formazione del Responsabile del Trattamento dei Dati – profilo primario per la norma uni 11697
4. Formazione del DPO– profilo primario per la norma uni 11697
5. Formazione degli Incaricati al Trattamento dei dati
6. Formazione specialista Privacy (almeno 24 ore) – profilo di supporto per la norma uni 11697
7. Formazione valutatore privacy (almeno 48 ore) – profilo di supporto per la norma uni 11697

LA CERTIFICAZIONE

1. Certificazione UNI 11697 per il DPO: consente la non attaccabilità e la dimo- strazione delle competenze del DPO;
2. Certificazione ISO/IEC 27001:2005 per la gestione della sicurezza nella tecnologia dell’informazione;
3. Autorizzazione all’Ispettorato del Lavoro degli Impianti di Video Sorveglianza (ove presenti).

LE SANZIONI

Le imprese e le pubbliche amministrazioni che non si uniformeranno alle nuove norme entro il 25 maggio 2018 si esporranno a sanzioni molto consistenti, che in casi particolari potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

LA NOSTRA SOLUZIONE

CONFORMA, supportata da Data Protection Officer certificato, ha ideato una soluzione per guidare le aziende nell’intricata galassia dell’applicazione del GDPR:

– Consulenza: Introduzione al nuovo GDPR; quali impatti, quali responsabilità, quali sanzioni, approccio metodologico.
– Assessment: analisi dei rischi e dell’impatto del nuovo GDPR sull’azienda, GAP Analysis AS IS-TOBE.
– Disegno di processo: consulenza nel disegno di nuovi processi operativi.
– Strumento di supporto: basato sulla struttura organizzativa dell’azienda, iden- tifica i responsabili del trattamento, monitora la correttezza dell’applicazione del GDPR sui processi aziendali, segnala le NON Conformità nel trattamento e suggerisce le azioni corret- tive necessarie.
– Formazione: progettazione ed erogazione della formazione alle figure sensibili coin- volte.
– DPO on demand: un servizio di un nostro consulente certificato DPO.