GDPR
GDPR (General Data Protection Regulation)
Il processo di adeguamento al Reg. UE 679/2016, volto a raggiungere la cosiddetta Privacy Compliance, richiede una prima verifica iniziale che ha come obiettivo l’individuazione delle non conformità e la distanza del sistema aziendale dalla compliance normativa, permettendo quindi di identificare e di conseguenza pianificare correttamente le azioni da intraprendere.
Le verifiche richieste dal nuovo GDPR riguardano:
Documentazione prevista dal Codice;
Misure di sicurezza fisiche;
Misure di sicurezza logiche (informatiche);
Misure di sicurezza organizzative (ad es. esistenza di politiche e/o di procedure);
Provvedimenti del Garante Privacy (quali ad esempio amministratori di sistema, videosorveglianza, localizzazione satellitare, marketing e profilazione della clientela).
Dalla privacy assessment emergono le eventuali carenze (gap analysis e compliance normativa) e i successivi servizi erogabili dal Club.
PRODUZIONE DOCUMENTALE
Sono previste le seguenti attività:
Redazione aggiornamento dei documenti di sistema necessari alla compliance documentale:
Individuazione di ruoli e responsabilità (Organigramma della Privacy);
Stesura delle lettere di nomina di incaricati e responsabili del trattamento (e di eventuali soggetti terzi);
Stesura delle informative per gli interessati (clienti/utenti, fornitori, dipendenti);
Identificazione dei casi che prevedono l’obbligo di prestazione del consenso da parte degli interessati, e predisposizione della formula di richiesta del consenso;
Qualora necessaria, realizzazione della DPIA (Data Protection Impact Assessment);
Stesura delle Procedure Privacy di rilascio, conservazione e aggiornamento della documentazione.
PIATTAFORMA “SISTEMI S.P.A.”
La piattaforma in questione permette al Committente di adempiere al Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR), in modo autonomo e senza istallare nulla sui propri personal computer, in quanto grazie all’inserimento di alcune informazioni da parte del Committente la piattaforma produrrà automaticamente:
Informative al trattamento rivolte a qualsiasi interessato;
Lettere di incarico per il trattamento dei dati personali per “i soggetti autorizzati al trattamento”;
Lettere di nomina dei responsabili esterni del trattamento;
Lettere di nomina dei responsabili interni del trattamento;
Lettere di nomina del DPO (Data Protection Officer);
Lettera di nomina degli Amministratori di Sistema;
Lettera di nomina per gli incaricati al trattamento delle immagini della Videosorveglianza;
Realizzazione della DPIA (Data Protection Impact Assessment);
Definizione delle Contromisure di Sicurezza Tecnologiche, Organizzative e Fisiche adeguate per l’azienda in quanto nel rispetto dei risultati ottenuti nella DPIA;
Realizzazione del Registro delle Attività;
Realizzazione del Registro degli Incidenti;
Procedura per il Data Breach;
FORMAZIONE IN AULA
Tutti gli incaricati devono essere istruiti sulle corrette modalità di trattamento dei dati; inoltre è importante far sì che tutti coloro che trattano i dati applichino nella pratica quotidiana le misure di sicurezza previste dalla legge e le regole comportamentali fissate dal Committente.
Sono previste le seguenti attività:
Predisposizione di un piano formativo;
Attuazione delle sessioni formative in aula, presso la sede del Committente.
AUDIT
Per avere un sistema di gestione della Privacy coerente ed efficace nel tempo, occorre adottare precise misure di sicurezza, procedure e controlli. È quindi indispensabile che ogni azienda predisponga un piano annuale di Privacy Audit di prima parte (Internal Audit). I principali obiettivi dell’Audit sono la valutazione delle conformità ai criteri (requisiti di legge e requisiti interni all’organizzazione) e l’indicazione delle eventuali azioni correttive e/o di miglioramento. Tali attività verranno rese attraverso il sopralluogo del consulente presso la sede del Committente con successivo rilascio di una relazione scritta.