Il nostro team di Consulenti Privacy è in grado di supportarti in tutti gli obblighi privacy previsti dai Provvedimenti del Garante Privacy e dal nuovo Regolamento Europeo sul trattamento dei dati personali.

La metodologia di intervento dei nostri Consulenti Privacy prevede un percorso di affiancamento al personale interno per la creazione, la gestione e il mantenimento di un Sistema di Gestione Privacy attraverso i seguenti step:

1) ASSESSMENT – Report Gap Analysis e definizione piano interventi.

2) INTERVENTI TECNOLOGICI DI PROTEZIONE – Attivazione di misure tecniche ICT (dati, infrastrutture, applicazioni).

3) REVISIONE ED ORGANIZZAZIONE PROCESSI (GOVERNANCE) –  Realizzazione di misure organizzative (HR & Legal).

4) TRAINING RESPONSABILI TRATTAMENTO – Realizzazione di misure organizzative (HR & Legal).

5) ASSISTENZA ALLA COMPLIANCE – Preparazione a audit/verifiche e aggiornamenti periodici.

Il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 inerente il trattamento dei dati personali. Nel contempo è stata emanata anche la Direttiva 2016/680 che prevede l’obbligo per gli Stati Membri di intervenire regolando gli aspetti che non possono essere oggetto di un Regolamento europeo, come la sicurezza nazionale e le attività degli organi giudiziari e di polizia.

Il Regolamento ha prodotto i suoi effetti a partire dal 25 maggio 2018, data che rappresentava il termine ultimo per organizzarsi e adeguarsi alle nuove regole.

Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici, imprese private e studi professionali) che a vario titolo trattano dati classificabili come “dati personali” di cittadini residenti nella UE, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).

Il Regolamento ruota attorno a 4 principi:

• ACCOUNTABILITY & GOVERNANCE – Il Regolamento pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia sull’adozione di comportamenti proattivi, tali da dimostrare la concreta adozione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento.

• BREACH NOTIFICATION – L’art. 33 del Regolamento impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in cui ne viene a conoscenza, ma soltanto se è ritenuto probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

• STORAGE LIMITATION – I dati personali non dovranno essere conservati per un periodo di tempo maggiore di quanto sia strettamente necessario in relazione alla finalità del trattamento.

• INDIVIDUAL’S RIGHTS – Il Regolamento introduce il Diritto di Accesso (art.5) che obbliga le aziende a fornire agli individui l’accesso ai propri dati; il Diritto alla Portabilità (art. 20), ovvero la possibilità di trasferire i dati ad un’altra organizzazione in modo semplice e completo; il Diritto di Cancellazione (art.17), ossia il diritto alla cancellazione dei dati personali quando richiesto o quando non sussistono più le condizioni per il trattamento o la conservazione.

Il Regolamento coinvolge nei processi aziendali anche 6 figure chiave:

• Persona fisica: il proprietario dei dati.
• Controller: il titolare del trattamento.
• Processor: è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
• Data Protection Officer (DPO): il responsabile della protezione dei dati. 
• Supervisory Authority: il garante per la protezione dei dati personali.
• European Data Protection Board (EDPB)