GDPR • PRIVACY

Come trasformare un obbligo in un’occasione di crescita per la propria azienda.

La nostra azienda è in grado di fornire adeguata assistenza per conformare il proprio cliente agli obblighi previsti dalla nuova normativa privacy e, con l’occasione, di aggiornare i processi aziendali esistenti, rendendoli più efficaci ed efficienti.

Il General Data Protection Regulation (GDPR) è il nuovo Regolamento Europeo relativo al trattamento e alla protezione dei dati personali delle persone fisiche, approvato dal Parlamento UE il 14 aprile 2016 è applicabile in tutta l’Unione a partire dal 25 maggio 2018.
Una vera rivoluzione copernicana rispetto alla precedente disciplina ed obbliga tutte le aziende e i professionisti ad adeguarsi. Sebbene la tendenza diffusa sia quella di considerare questo adeguamento come l’ennesimo aggravio per l’attività d’impresa, in realtà il GDPR offre l’occasione di riattualizzare i processi aziendali, semplificandone i flussi e riducendone i costi.
Il destinatario della nuova norma non è solo il mondo web, ma tutti coloro i quali hanno a che fare, direttamente o indirettamente, con informazioni personali altrui. Oggetto di attenzione, però, non è più il semplice dato come nel passato, ma il trattamento dello stesso, attraverso un atteggiamento proattivo del titolare. Non vengono più suggerite misure minime di sicurezza, ma si parla di accountability (responsabilizzazione): è il titolare del trattamento, per il tramite dei propri consulenti, che sa cosa è più giusto per la propria azienda.

DPO

Formazione e competenza al servizio del cliente

La nostra azienda è in grado di assumere il ruolo di DPO, con stipula di un contratto di servizi, a mezzo di un vero e proprio gruppo di lavoro, adeguatamente formato e con specifiche competenze nel settore tra i quali un avvocato, ingegnere informatico e gestionale o esperto di cyber security.

Il Data Protection Officer (DPO), figura introdotta dal GDPR è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica o privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Il quadro sanzionatorio introdotto con il GDPR è completamente cambiato rispetto al passato. Si va da una mera diffida amministrativa a sanzioni fino ad un massimo di 20 milioni di euro o il 4% del fatturato aziendale e queste sanzioni colpiscono il solo titolare del trattamento e quindi il singolo soggetto e l’azienda.
Per questa ragione la scelta di una figura professionale come il DPO è fondamentale per proteggere il titolare del trattamento da rischi sanzionatori pesantissimi.

DPIA • AUDIT

Impact Assessments, Privacy by Design e Privacy by Default

La nostra azienda è in grado di fornire tutta l’assistenza necessaria non solo nel redigere adeguata DPIA e di suggerire idonee misure compatibili con la natura dell’impresa e i budget disponibili, ma anche nell’effettuare gli audit e verificare, nel contempo, le attività prestate da altri professionisti del settore.

Il General Data Protection Regulation (GDPR) impone, in ottica di privacy by design, che l’azienda realizzi un impact assessments (DPIA). L’imprenditore o il professionista, obbligati a conformarsi al GDPR, sono tenuti, quindi, in sede di progettazione delle misure ritenute utili a protezione dei dati, a tenere conto di standard tecnologici di data protection che siano coerenti con lo stato dell’arte e dell’innovazione.
È necessario prevedere i rischi del trattamento dei dati personali e approntare soluzioni tecniche che siano compatibili con la natura dell’impresa e coi i suoi budget, ma anche con la realtà e con il mercato ai quali essa si rapporta. Poiché tutto ruota intorno all’accountability dell’imprenditore, è compito dei nostri consulenti studiare le soluzione più adeguate, in modo che non siano né sovradimensionate, il che comporterebbe un inutile aggravio sui costi aziendali, né sottodimensionate, poiché esporrebbero il titolare al rischio censurato e sanzionato dal GDPR.
Poiché progettare su carta, senza poi attuare concretamente i modelli, vuol dire spendere risorse e restare comunque esposti al rischio di sanzioni in caso di controlli della Guardia di Finanza e delle altre autorità preposte, è necessario che i modelli organizzativi e i registri dei trattamenti siano vigilati dal DPO, quando previsto, ma soprattutto giudicati in sede di audit.

COMPLIANCE

Prevenire è meglio che curare

Seguiamo il nostro cliente sin dalla fase di consulenza, predisponendo e realizzando il modello più adatto alla sua realtà e accompagnandolo in tutta la fase di applicazione per adattare lo stesso all’interno della sua realtà organizzativa, supportandolo infine anche nelle successive fasi di adozione e formazione.

La legislazione in tema di gestione aziendale spinge l’imprenditore ad adottare comportamenti proattivi che dimostrino la concreta adozione di misure finalizzate a ridurre o eliminare un rischio. La concreta valutazione dell’efficacia delle misure adottate viene vagliata dall’Autorità ex post e quindi la prior checking è rimessa all’interessato, coadiuvato dai propri consulenti.
L’obiettivo di compliance è raccordare normative omogenee come:

  • L. 300/70 (Statuto dei lavoratori)
  • D.Lgs. 231/01 (Responsabilità amministrativa delle società e degli enti)
  • D.Lgs. 81/08 (Tutela della salute e della sicurezza nei luoghi di lavoro)
  • Norme di tutela ambientale
  • Certificazioni ISO (9001 – 31000 – 22317)

Grazie alla stretta collaborazione con professionisti del settore, siamo in grado di fornire gli strumenti per raggiungere l’obiettivo di compliance, predisponendo dei modelli organizzativi ad hoc in tema di misure organizzative di protezione e ripristino dei dati (MOP) etagliato sulle reali esigenze del cliente. Offriamo inoltre consulenza ed assistenza alle società e agli enti pubblici e privati relativamente agli adempimenti previsti nel D.Lgs. 231/01.