Consulenti Privacy - GDPR

Regolamento generale sulla protezione dei dati personali

Grazie al GDPR, i cittadini hanno il diritto di scegliere in modo uniforme su tutto il territorio europeo in che modo far trattare i propri dati. Per attuare questa protezione, però, sono state introdotte nuove misure che le aziende devono adottare per essere in compliance e cioè conformi al Regolamento Europeo in materia di Privacy, oltre a principi nuovi tra i quali quello di accountability (Principio di responsabilità). 

Un partner affidabile

I nostri Consulenti Privacy, competenti e costantemente aggiornati sulle normative, sono certamente il punto di riferimento per ogni realtà aziendale. 

I servizi proposti sono di primaria importanza per l’adeguamento al GDPR, Regolamento Europeo sulla Privacy, sia per quelle imprese dove c’è l’obbligo di nominare un Data Protection Officer (D.P.O o Responsabile della Protezione dei Dati), sia per quelle strutture aziendali che non lo richiedono.

consulenti-privacy-dbway

Un iter operativo preciso

Il nostro servizio prevede un rodato iter operativo. Scopo della prestazione è fornire all’impresa gli strumenti necessari per avviare e sostenere la corretta gestione dei dati raccolti e conservati.

Tutti gli adeguamenti previsti dalla legislazione, alcuni non sempre obbligatori, vengono valutati con il consulente in fase preliminare. Tra questi, a titolo di esempio, la formazione avanzata, l’analisi tecnica dei sistemi informatici, la necessità di nominare un DPO (Data Protection Officer) e la consulenza in azienda.

consulenti privacy sicilia

Un inutile balzello?

Quante volte abbiamo considerato il GDPR una perdita di tempo? Un costo aggiuntivo? Altri fogli da stampare?

L’investimento necessario a mettere in regola la propria azienda, l’impegno in tempo e risorse umane, vengono spesso vissute dalle imprese in modo negativo, qualcosa di cui si sarebbe fatto volentieri a meno. 

E se invece lo considerassimo come una forza commerciale in grado di creare un pacchetto clienti in target, un rapporto di fiducia tra imprese e clienti?

Ci piace pensare che il nostro potenziale cliente scelga noi anche per la nostra capacità di gestire e proteggere i suoi dati in modo adeguato.

Vuoi saperne di più?

Leggi le risposte alle domande frequenti oppure contattaci, uno dei nostri consulenti Privacy ti richiamerà, gratuitamente, per capire quali sono le tue esigenze. Se vuoi puoi compilare il nostro test, anonimo, per capire in autonomia la tua posizione rispetto all’adeguamento.

Uno degli adempimenti obbligatori, se non il più importante, è l’applicazione del principio di Accountability, cioè la maggiore responsabilità del titolare dei trattamenti dei dati personali. Ricordiamo, inoltre, altre misure di applicazione dei trattamenti quali i principi di Privacy by design e by default, la redazione del Registro dei trattamenti e delle informative, l’Analisi dei rischi, la notifica di un eventuale Data Breach e la nomina del DPO, quando necessario.

Il Data Protection Officer, meglio noto come DPO, è una figura introdotta dal GDPR. La sua nomina è obbligatoria per le pubbliche amministrazioni, le aziende che effettuano il trattamento di dati particolari o giudiziari, in larga scala, o che trattano dati personali per scopi statistici.

Il titolare dei trattamenti hanno il diritto di decidere autonomamente le modalità, le finalità e i limiti del trattamento dei dati personali.

Nel rispetto del Principio di Accountability hanno, però, il dovere di valutare i rischi che l’azienda corre nel trattare i dati e cosa comporterebbe la loro perdita o violazione per i diritti e le libertà dei cittadini.

Da tale Analisi dei Rischi, deve adottare tutte le misure tecniche e organizzative, informatiche e non, al fine di gestire e proteggere i dati personali nel modo più corretto possibile.

Il Titolare dei trattamenti dei dati personali ha il dovere di raccogliere, gestire, trattare e proteggere i dati personali degli interessati. 

La loro raccolta deve essere esplicita e legittima e il loro uso deve essere lecito, corretto e trasparente.

Occorre redigere le informative e la richieste del consenso in modo chiaro e comprensibile; formare il proprio personale alla gestione e all’uso consapevole dei dati raccolti. 

La Privacy Policy è un documento da pubblicare nella propria piattaforma web, rivolto a chiunque navighi nel proprio dominio.

Deve essere chiara, leggibile e comprensibile a tutti gli utenti. Deve specificare le finalità di raccolta dei dati di navigazione.

Il registro dei trattamenti è un documento obbligatorio per tutte le aziende con più di 250 dipendenti ma fortemente consigliato a tutte le altre.

Il registro dei trattamenti indica e spiega dettagliatamente le tipologie del trattamento effettuati, le finalità e le modalità; chi è il titolare di ogni trattamento e se ci sono responsabili esterni e soggetti incaricati.

Deve essere aggiornato periodicamente e per ogni cambiamento in azienda.

Il registro dei trattamenti deve essere esibito nel momento dei controllo da parte della Guardia di Finanza.

Il responsabile esterno è una persona fisica, un’azienda o un ente che tratta i dati per conto e sotto istruzioni del Titolare dei trattamenti (consulente fiscale, consulente del lavoro, azienda di comunicazione e marketing, ecc..)

Anche il responsabile esterno deve garantire il rispetto e l’adeguamento delle norme del Regolamento Europeo in materia di Privacy nonché la tutela dei diritti dell’interessato.

La DPIA (Data Protection Impact Assesment), o valutazione d’impatto, è una procedura utilizzata per valutare la necessità, la proporzionalità e i rischi di ogni trattamento.

La valutazione d’impatto determina la responsabilità del titolare e/o del responsabile esterno considerando le finalità del trattamento e le sue modalità. Determina i rischi per i diritti e la libertà delle persone fisiche in caso di violazione o perdita dei loro dati personali.

La DPIA è uno strumento importante perché dimostra che il Titolare del trattamento è consapevole della sua responsabilità nei confronti dei dati personali in suo possesso.

 

Il Data breach è la violazione o la perdita dei dati personali. Può essere causato accidentalmente (calamità naturale o perdita di un dispositivo elettronico contenenti i dati personali) oppure in modo illecito da parte di terzi  (attacco informatico).

Il GDPR prevede la notifica entro le 72 ore dalla violazione dei dati al Garante Privacy e alle persone cui sono stati persi o distrutti i propri dati, qualora tale perdita dovesse ledere le loro libertà personali.

Il GDPR introduce più diritti ai cittadini europei, tra cui il diritto all’oblio. In qualsiasi momento la persona fisica può revocare il proprio consenso all’utilizzo dei dati personali e chiedere la loro cancellazione.

Da parte sua, l’azienda ha il dovere di eliminare tempestivamente, o nel minor tempo possibile, i dati della persona cui ne fa richiesta.

Il GDPR prevede sanzioni aspre e significative.

Le sanzioni vanno da un’ammenda amministrativa, pari a €500, fino al 4% del fatturato aziendale, in riferimento all’anno precedente.

I controlli sono affidati al Garante e alla Guardia di Finanza.