Il nuovo regolamento europeo sulla privacy (UE 2016/679 – GDPR) è l’occasione per un’analisi relativa al proprio contesto aziendale raccogliendo tutte le informazioni riguardanti non solo l’azienda stessa (come titolare di un trattamento principale) ma, se esistenti, eventuali società controllate/controllanti o collegate. Risulta quindi centrale che l’azienda comprenda l’importanza ed il valore che hanno le informazioni (i dati personali) che possiede, in particolare relative ai propri clienti/utenti. L’intervento sarà realizzato dal nostro team seguendo in sintesi  le seguenti fasi:

Mappatura dei processi-attività di trattamento dei dati personali
Identificazione di tutti i processi/attività aziendali che hanno per oggetto il trattamento dei dati personali e un conseguente impatto a livello di privacy.
Valutazione di impatto privacy e del rischio di trattamento dati personali
Ai processi di trattamento dei dati personali è applicata la valutazione d’impatto sulla protezione dei dati (art. 35 e 36 del GDPR).
Registro dei trattamenti di dati personali (art. 30 GDPR)
Creazione del registro dei trattamenti, un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza.
Compliance della documentazione
Raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso. Conseguentemente stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali), affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa.
Struttura organizzativa relativa alla data protection (art. 24-29 GDPR)
Definizione, formalizzazione e implementazione della struttura organizzativa relativa alla data protection attraverso l’individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento. Sensibilizzazione e formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito del modello di funzionamento della data protection.
Definizione del sistema di sicurezza organizzativo e tecnologico (art. 32 GDPR)
Valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa. Tale fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability). Realizzazione del Regolamento Privacy aziendale (inteso come regole di comportamento relative al corretto trattamento dei dati personali e utilizzo degli strumenti di trattamento) e di tutte le procedure-istruzioni operative ritenute necessarie per i sistemi di sicurezza fisica e IT.
Processo di Data Breach
Definizione di un processo di notifica di una violazione dei dati personali all’autorità di controllo e all’interessato, assicurandosi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita.
Valutazione circa la necessità di nomina del Data Protection Officer (DPO)
Valutazione circa l’eventuale individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.