Consulenza sull’adeguamento Privacy e conformità al Regolamento Europeo GDPR (2016/679).

La consulenza sulla Privacy si articola in diverse fasi e diversi servizi volti a garantire alla Vs. organizzazione un servizio di assistenza a tutto tondo per tutto l’arco della durata del rapporto, attraverso il sostegno di un network di consulenti Privacy Specialist / DPO a voi dedicati e sotto la supervisione di Francesco Speciale che vi seguiranno sia direttamente presso la Vs. sede, sia attraverso il lavoro in ufficio e l’assistenza telefonica o telematica (es. email).

le fasi

Fonte: rapporto CLUSIT 2018

PROGETTI DI ADEGUAMENTO AL GDPR 2016/679

Attività di Assessment iniziale e valutazione della compliance

La fase iniziale consiste nell’osservazione dello stato attuale delle cose per la privacy, di un censimento dei dati personali, del flusso tipico dei dati personali durante l’attività quotidiana ed una prima valutazione generale della compliance che matura attraverso delle interviste con dei questionari oltre che delle indagini empiriche con le figure chiave dell’organizzazione. A volte si ricorre a delle check-list con domande a risposta chiusa (Sì/No) per essere più sintetici nell’approccio e nella raccolta delle informazioni.

Registro delle attività del Titolare e del Responsabile del Trattamento

Ai sensi dell’art.30 c. 1 e 2 del Regolamento generale sulla Protezione dei dati (Regolamento (UE) 2016/679 verrà strutturato e reso disponibile un elenco in formato elettronico o cartaceo dei trattamenti del Titolare e, separatamente, del Responsabile, svolte sotto la propria responsabilità -e, ove applicabile del suo rappresentante-.

Stesura e modifica della documentazione sulla Data Protection

La documentazione di riferimento deve comprendere documenti per la raccolta del consenso, le lettere di nomina, le informative, le autorizzazioni all’accesso, i disciplinari interni, le procedure di vario tipo ed i processi che devono gestire le tematiche della Data Protection.

Individuazione dei Ruoli e Responsabilità interni e esterni
– Aggiornamento individuazione responsabili esterni ai sensi degli art. 28 del Regolamento (UE) 2016/679;
– Aggiornamento individuazione delegati privacy interni ed incaricati ai sensi degli art. 29 del Regolamento (UE) 2016/679;
– Individuazione e nomina Amministratori di Sistema;
– Eventuale individuazione del Responsabile della Protezione dei Dati (RPD I DPO) I Data Protection Officer e predisposizione nomina ai sensi degli artt. 37 – 38 – 39 Reg. (UE) 2016/679.
– Redazione e aggiornamento organigramma Privacy interno

Definizione delle politiche di sicurezza e valutazione dei rischi in base all’art 32 GDPR:

  • redazione di un report di analisi dei rischi avente ad oggetto sia gli elementi del sistema informatico sia le principali minacce alle quali possono essere sottoposti i dati da proteggere;
  • successiva individuazione delle specifiche di sicurezza logiche ed organizzative imposte dall’art. 32 del regolamento volte a garantire un’adeguata tutela rapportata al rischio specifico del cliente.
    Non verrà fornito alcuna soluzione hardware o software, ma si analizzeranno le soluzione necessarie.

Redazione di procedura Violazione dei dati personali e registrazione eventi I Data Breach (art. 33-34 GDPR)

Gli artt. 33 e 34 del Regolamento (UE) 2016/679 GDPR richiedono che il Titolare del trattamento debba gestire correttamente i casi di violazione di dati personali e che debba – art. 33 c. 5 GDPR – documentare qualsiasi violazione di dati personali con i relativi provvedimenti. Verrà quindi predisposta una policy di data breach che permetta di coinvolgere le funzioni responsabili del trattamento e, se istituito, il servizio di DPO e istituito un registro per la registrazione degli eventi.

Predisposizione policy sulla conservazione dei dati I Data Retention Policy

Ai sensi degli Artt. 5, 13, 14 del Regolamento (UE) 2016/679 verrà redatta una policy sui tempi di conservazione dei dati diversificata per tipologie di trattamento.

Privacy/Data Protection Impact Assessment I Valutazione d’impatto (art. 35 GDPR)

Redazione di una valutazione di impatto per i trattamenti ricadenti nella disciplina dell’art. 35 del Regolamento Privacy UE e ricompresi nell’elenco delle tipologie di trattamento soggette e pubblicate dall’Autorità di controllo e successive. Il documento è obbligatorio quando i trattamenti riguarderanno nuove tecnologie e presenteranno rischi elevati per alcune categorie di interessati.

Consultazione preventiva I Prior Check

Predisposizione e fornitura della documentazione necessaria per le analisi di Prior Check.

Implementazione dei processi per l’esercizio dei diritti dell’interessato

Ai sensi dell’Art. 15 Diritto di accesso, Art. 16 Diritto di rettifica, Art. 17 Diritto di cancellazione o diritto all’oblio, Art. 18 Diritto di limitazione del trattamento, Art. 20 Diritto alla portabilità dei dati, Art. 21 Diritto di opposizione e Art. 22 Processo decisionale automatizzato si definiscono delle procedure per gestire le richieste provenienti dagli interessati.

Servizio DPO I RPD

Nel caso in cui durante l’attività di compliance GDPR, si rilevasse la necessità dell’inserimento in azienda di un Responsabile della Protezione dei dati (RPD I DPO) ai sensi dell’art. 37, verrà predisposta apposita offerta o per il servizio di DPO esterno o di supporto e/o formazione al Vs. DPO interno.

Formazione

Si ricorda che l’articolo 29 del Regolamento Privacy (UE) 2016/679 prevede che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Gruppi multinazionali I Autorità capofila

Alla luce dei trattamenti effettuati e delle decisioni su finalità e modalità del trattamento verrà individuata l’autorità Capofila per i singoli trattamenti e verrà redatto un organigramma di Gruppo con ruoli privacy (Data Controller I Data Processor); tenendo conto delle linee guida adottate il 13 dicembre 2016 e dei contratti di service infragruppo qualora esistenti.

Affiancamento nella stipula di un DTA attraverso le Standard Contractual Clauses

Affiancamento nella Stipula di un DTA (Data Transfer Agreement)  attraverso Standard Contractual Clauses (clausole contrattuali tipo come definite dalla Commissione Europea) funzionale a garantire il trattamento dei dati con adeguate garanzie ai sensi dell’art. 46 del Regolamento 2016/679.

PROGETTI SU AMBITI PRIVACY SPECIFICI

Policy sull’utilizzazione di strumenti aziendali quali computer, e-mail, internet e dispositivi mobili

Stesura/aggiornamento del Regolamento interno per l’utilizzazione di strumenti aziendali (computer, posta elettronica, internet, dispositivi mobili) ai sensi del provvedimento del Garante del 1 marzo 2007 e alla luce del art. 4 della L. 300/70 come modificato dal D. lgs. 151/2015 (“Jobs act”) e dell’Opinion 2/2017 WP29 I “on data processing at work”.

Consulenza sulla Videosorveglianza

Predisposizione e fornitura della documentazione necessaria per la messa a norma rispetto agli adempimenti del Provvedimento dell’aprile 2010 dell’Autorità Garante Privacy sulla Videosorveglianza anche alla luce del art. 4 della L. 300/70 come modificato dal D. Lgs. 151/2015 (“Jobs act”).

Verifica Sito Internet e Consulenza ai sensi del Provvedimento del Garante Privacy sui cookies:

Verifica, attraverso la predisposizione di informative art. 13 T.U. 196/2003 (privacy policy) e consensi, del corretto utilizzo e della corretta gestione del trattamento dei flussi di dati raccolti attraverso il sito web

Consulenza ai sensi del Provvedimento del Garante Privacy: Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014); Chiarimenti in merito all’attuazione della normativa in materia di cookie e predisposizione apposita informativa.

Marketing e comunicazioni

Verifica e aggiornamento dei Vs. documenti rispetto ai trattamenti da Voi effettuati in materia di Marketing, in riferimento alle Linee Guida del Garante privacy in relazione ad attività promozionali e contrasto allo Spam del 04 luglio 2013 (Gazzetta Ufficiale nr. 174 del 26/07 /2013), e Provvedimento del Garante su consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto – 15 maggio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013) e successivi provvedimenti.

Consulenza sul provvedimento del Garante Privacy sugli Amministratori di Sistema Informatici (AdS).

Al fine di applicare il Provvedimento del Garante Privacy del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008, così modificato in base al provvedimento del 25 giugno 2009 G.U. n. 149 del 30 giugno 2009) la ns. consulenza prevede:

  • Consulenza nell’individuazione degli Amministratori di Sistema interni ed esterni alla Vostra struttura e valutazione dei requisiti;
  • Predisposizione nomine degli Amministratori di Sistema e/o manutentori occasionali e/o Responsabili del trattamento;
  • Linee guida per la verifica annuale degli Amministratori di Sistema;
  • Predisposizione dell’elenco degli Amministratori di Sistema e indicazioni su come renderlo noto ai dipendenti;
  • Indicazioni circa la registrazione dei files di log degli accessi degli Amministratori di Sistema, ove obbligatorio.

 Per ulteriori informazioni scrivere a info@dpcore.eu. Indicando il vostro numero di telefono verrete ricontattati.