Consulenza per Adeguamento Privacy

ADEGUAMENTO PRIVACY E GDPR PER AZIENDE

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 

Adeguamento Privacy. Per la conformità al GDPR, enti ed organizzazioni devono configurare un c.d. «sistema privacy», che si evolve nel tempo, costituito dai seguenti componenti:

 

Adeguamento Privacy - GDPR per Aziende Aggiornamento Privacy

 

Adeguamento Privacy in 7 punti . Aggiornamento GDPR

 

1) Registro dei Trattamenti

Quando un cliente, o dipendente, affida i propri dati ad una azienda o ad una organizzazione questa diviene Titolare del Trattamento dei dati personali come da  GDPR.

Il Titolare del Trattamento deve tenere un registro che contiene almeno:

il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO) ove previsto;

le finalità del trattamento, cioè i fini, stabiliti dal Titolare del Trattamento, per cui si trattano i dati;

la descrizione delle categorie di interessati e delle categorie di dati personali;

le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (come per es. i Responsabili del Trattamento, cioè i fornitori, a cui il titolare affida i dati personali custoditi);

ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

 

2) Informative GDPR

Ai sensi del GDPR, il Titolare adotta misure appropriate per fornire all'interessato (cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.

Mediante l'impiego dell'informativa il Titolare fornisce agli Interessati tutte le informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici.

Fra le informative ricordiamo quelle rivolte alla clientela, ai dipendenti e la cookie policy.

L'informativa deve contenere almeno:

identità del Titolare;

dati dei Responsabili e dei Destinatari del Trattamento;

eventuali legittimi interessi perseguiti;

eventuali trasferimenti di dati all'estero;

il periodo di conservazione dei dati personali;

diritti degli interessati esercitabili;

eventuale trattamento di dati particolari;

la natura del conferimento (obbligatorio o meno);

eventuale presenza di processi decisionali automatizzati compresa la profilazione.

 

3) Lettere di Designazione articolo 29 del GDPR

Ai sensi dell'art. 29 del GDPR chiunque tratta dati personali per conto del Titolare del Trattamento deve ricevere specifiche istruzioni.

Il Titolare può ricorrere a:

Responsabili del Trattamento, in genere fornitori a cui il Titolare affida i dati personali;

Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema, ex. Incaricati),costituiti in genere dai dipendenti del Titolare a cui vengono attribuiti i privilegi di accesso per accedere ai dati.

Le designazioni di Responsabili ed Autorizzati sono in genere redatte in forma scritta mediante specifiche lettere con termini appropriati.

 

4) Procedure Aggiornamento

Il Titolare del Trattamento regola la propria attività mediante specifiche procedure ai fini di dimostrare la conformità al GDPR:

Privacy by Design / Default e DPIA;

Gestione delle violazioni dei Dati personali (Data Breach);

Gestione esercizio Diritti interessati;

Processo per la nomina di Responsabili del Trattamento;

Processo per la nomina di Soggetti Autorizzati (Ex. Incaricati).

Processo per la conservazione e cancellazione dei dati personali

 

5) Registro Data Breach articolo 33 c.5 del GDPR

Ai sensi dell'Art. 33 c.5 del GDPR "Il Titolare del Trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.

Il Titolare del Trattamento deve tenere un registro preposto alla registrazione delle violazioni dei dati personali in cui annotare tutte le violazioni avvenute comprese quelle che non vanno notificate al Garante Privacy cioè quelle che non hanno un rischio elevato per le libertà e i diritti degli interessati.

 

6) Analisi dei Rischi articolo 32 del GDPR

L’articolo 32 del GDPR, afferma che: “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”

L’approccio che ogni Titolare del trattamento deve seguire, per il trattamento dei dati personali, deve essere basato sul rischio: più alto è il rischio e più severe devono essere le misure che il Titolare o il Responsabile del trattamento devono considerare mitigare il rischio.

A tal fine sia il Titolare che il Responsabile devono configurare, in relazione ai trattamenti eseguiti un modello per la determinazione dei rischi per le libertà e i diritti degli interessati considerando:

L’impatto per gli interessati a seguito di una violazione che riguarda la riservatezza, integrità, disponibilità dei dati nonché aspetti critici del trattamento eseguito;

Le minacce che possono insistere sui trattamenti;

Le misure di mitigazione delle minacce che possono insistere sui trattamenti

 

7) Privacy by Design / Default e DPIA

Il GDPR disciplina il concetto di Privacy by Design all’art. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

Ai sensi di tale disposizione, il Titolare del Trattamento ha il dovere di adottare misure tecniche e organizzative adeguate al fine di dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei dati (in particolare la minimizzazione), garantendo la conformità ai requisiti del regolamento ed un efficace esercizio dei diritti degli Interessati

Il progetto (applicazione o procedura organizzativa) che prevede l’istituzione e/o la modifica sostanziale di un trattamento, avendo come punto di riferimento il principio di “Privacy by Design”, è da implementare in modo tale da porre particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali, alla raccolta e alla cancellazione degli stessi con specifico riguardo alle garanzie procedurali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati personali.

All’interno del processo di Privacy by Design, se il trattamento dovesse presentare rischi elevati per gli interessati, il Titolare del Trattamento è tenuto alla esecuzione di un DPIA

Il GDPR impone ai Titolari del Trattamento l'esecuzione della DPIA (Data Protection Impact Assessment), cioè una valutazione d'impatto ai fini privacy, per tutti quei trattamenti che possano "...presentare un rischio elevato per i diritti e le libertà delle persone fisiche" in considerazione della natura, dell'oggetto, del contesto e delle finalità.

La DPIA è una valutazione che deve essere condotta seguendo specifiche metodologie (vedi provvedimento WP 248); l'articolo 35 del GDPR definisce la DPIA come uno strumento che, in ossequio al principio di accountability, consente ai titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.

La conformità al GDPR è un percorso che non si esaurisce con la semplice redazione di informative da sottoporre alla firme degli interessati.

 

ADEGUAMENTO GDPR - AGGIORNAMENTO PRIVACY LE INDICAZIONI DEL GOVERNO

Di seguito l'adeguamento al GDPR illustrato dal governo.

 

ADEGUAMENTO PRIVACY E GDPR PER AZIENDE
ADEGUAMENTO PRIVACY E GDPR PER AZIENDE
GDPR - Informativa ai sensi del Regolamento UE 2016/679

Contattaci
Hai bisogno di aiuto? Compila il form qui in basso.
Il nome della tua Azienda
Scrivi qui la tua richiesta

IDEAL SAFE SRLS

PARTITA IVA 15667421000

Via Pier Paolo Pasolini 13 - 00065 Fiano Romano. 

 

CORSI ONLINE

Corsi sicurezza sul lavoro

Corsi privacy

Haccp

Testo unico sicurezza lavoro

METODI DI PAGAMENTO

Paypal

Mastercard

Bonifico Bancario

Postepay

Cerca