GDPR (Regolamento europeo in materia di protezione dei dati personali)

Divisione certificazioni

Il regolamento generale sulla protezione dei dati – Regolamento UE 2016/679, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016, inizierà ad avere efficacia il 25 maggio 2018.

Le principali novità :

Applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE, o tali da comportare il monitoraggio dei comportamenti di cittadini UE.
Obbligo di trattare i dati secondo la progettazione “by design”e“by default” Le impostazioni predefinite devono essere quelle che garantiscono il maggior rispetto della privacy;
Obbligo di rispettare e applicare il “Data breach”, cioè la capacità di rilevare e segnalare al Garante e all’interessato, eventuali fughe violazioni o compromissioni di dati;
Obbligo del Registro delle attività di trattamento (vecchio DPS);
Ruolo proattivo dell’Azienda. Il Titolare del trattamento deve essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento;
Aumento delle sanzioni (dal 2% al 4% del fatturato)
Obbligo dell’ Analisi dei rischi compresi quelli informatici circa la sicurezza dei dati.
Obbligo di svolgere il Data Protection Impact Assessment (DPIA);
Pseudonimizzazione e cifratura dei dati personali;
Obbligo della nuova figura del “Responsabile per la protezione dei dati personali” (DPO o RDPD) per la pubblica amministrazione, per aziende con 250 dipendenti e/o altri parametri di trattamento su larga scala.

Lo Studio Tecnico coi propri consulenti specializzati nella gestione del trattamento dei dati e formati come DPO, è in grado di fornire tutti i servizi necessari all’attuazione del regolamento, offrendo:

Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;

Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;

Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento e formazione delle figure preposte e definite dal regolamento;

Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);

Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;

Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;

Implementazione dei processi per l’esercizio dei diritti dell’interessato;

Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali e dunque la loro protezione all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.