PRIVACY

I nostri servizi per te
Privacy Vuoi maggiori informazioni?
Consulenza completa del GDPR

Siamo la soluzione p-er tutte le necessità in campo privacy, dal professionista alla grande azienda. Uno staff di esperti, consulenti certificati e DPO sono a vostra disposizione per gestire  gestire in modo conveniente la privacy e la sicurezza dei dati trattati. 

 

VERIFICHIAMO LA SICUREZZA DEI DATI PERSONALI TRATTATI

Ti guidiamo nel processo di valutazione dei rischi e, attraverso una procedura guidata, determiniamo con te tutte le misure necessarie per trattare correttamente i dati personali ed evitare sanzioni.

MONITORIAMO TUTTO IL PROCEDIMENTO DEL TRATTAMENTO DEI DATI

Configuriamo correttamente la gestione dei dati dei nostri clienti e, attraverso un procedimento dettagliato, li aiutiamo a tenere sempre sotto controllo tutta la struttura organizzativa.
Monitoriamo la liceità dei trattamenti e ne verifichiamo la messa in sicurezza.

 

PRODUCIAMO TUTTA LA DOCUMENTAZIONE NECESSARIA

Generiamo i registri dei trattamenti, gli atti di nomina e i contratti permettendoti di archiviare e tenere traccia di tutti i documenti prodotti. Ti generiamo delle procedure snelle e corrette per informare correttamente i soggetti interessati, raccogliere il consenso e generare la cookie policy.

AUDIT DI CONSULENZA

È il primo passo per l'approccio al GDPR. L’audit dal punto di vista pratico consiste in una intervista al titolare del trattamento dati in azienda, che si svolge periodicamente.
Le domande sono dirette a conoscere in che modo i dati vengono raccolti e trattati: alle aziende viene chiesto per esempio se esistono già dei sistemi di sicurezza attivi volti a proteggere i dati conservati, dei sistemi di backup, firewall, antispam.
Attenzione: l’audit e il regolamento GDPR non riguarda solo gli archivi digitali, ma anche quelli cartacei!
L’audit non dovrà trascurare anche questo aspetto, situazione frequente nella Pubblica Amministrazione e nelle cliniche, dove sono conservati dati sanitari e quindi, sensibili.


PERCHE' E' IMPORTANTE?

Per capire quanto sia importante l’Audit Privacy facciamo un passo indietro per focalizzare meglio il quadro d’insieme.
Il ruolo del responsabile della protezione dei dati (il privacy officer) nel nuovo Regolamento europeo ha un ruolo proattivo. È sua responsabilità la gestione dei dati aziendale: dalla prevenzione del rischio di violazioni (per evitare sanzioni), fino alla gestione delle eventuali violazioni.
In altre parole, la norma europea implica per le aziende italiane un ribaltamento della mentalità normativa per come era vista sino ad oggi: da obbligo a processo aziendale.
 
Il primo passo per mettersi a norma, dunque, è l’Audit, con lo scopo di:
 

  • Verificare il grado di conformità alla normativa vigente, che non è più il Dlgs 196/2003 ma il Regolamento UE;
  • Verificare il grado di conformità alle privacy policy aziendali che tutti i dipendenti sono tenuti ad osservare;
  • Verificare la presenza di un privacy officer con competenze in ambito di compliance aziendale;
  • Verificare la possibilità di affidare a un fornitore di servizi qualificato la gestione e/o il trattamento di dati;
  • Verificare l’efficacia di azioni correttive a seguito di “non conformità”
DPIA - VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l'autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l'impatto del trattamento non siano ritenute sufficienti  - cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

 

QUANDO LA DPIA E' OBBLIGATORIA?

In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
- trattamenti valutativi o di scoring, compresa la profilazione;
- decisioni automatizzate che producono effetti giuridici significativi (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
- monitoraggio sistematico (es: videosorveglianza);
- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
- trattamenti di dati personali su larga scala;
- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene ad esempio con i Big Data);
- dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani etc);
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale etc);
- trattamenti che, di per sè, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
 
La DPIA è necessaria in presenza di almeno due di questi criteri ma, tenendo conto delle circostanze, il titolare può decidere di condurre una DPIA anche se ricorre solo uno dei criteri di cui sopra.

 

QUANDO LA DPIA NON E' OBBLIGATORIA?

Secondo le linee guida, una DPIA non è necessaria per i trattamenti che:
- non presentano rischio elevato per diritti e libertà delle persone fisiche;
- hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
- sono già stati sottoposti a verifica da parte di un Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità) non hanno subito modifiche;
- sono compresi nell'elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
- fanno riferimento a norme e regolamenti, UE o di uno stato membro, per la cui definizione è stata condotta una DPIA.

 

QUANDO VA CONDOTTA UNA DPIA?

La DPIA va condotta prima di procedere al trattamento.
Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione ad intervalli regolari.

 

A CHI SPETTA LA RESPONSABILITA'?

La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione può essere affidata ad un altro soggetto, interno o esterno all'organizzazione.
Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati DPO e acquisendo, se i trattamenti lo richiedono, il parere di esperti del settore, del responsabile della sicurezza dei sistemi informativi e del responsabile IT.

PRIVACY BY DESIGN

Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy.

I principi che reggono il sistema sono i seguenti: 

- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione; 
- privacy come impostazione di default; 
- privacy incorporata nel progetto; 
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza); 
- sicurezza durante tutto il ciclo del prodotto o servizio; 
- trasparenza; 
- centralità dell'utente. 
 
L'obbligo di privacy by design è basato sulla valutazione del rischio, così come altri obblighi (es. notifica ai Garanti nazionali), per cui le aziende dovranno valutare il rischio inerente alle loro attività. Tale valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore. 

L'approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo. 
 
Un approccio risk based ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha anche lo svantaggio di delegare all'azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni.

Un approccio del genere considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto, come se i diritti di un adulto fossero meno fondamentali di quelli del bambino, e pone maggiore atttenzione al trattamento di un grande insieme di dati, laddove è pacifico che anche il trattamento di pochi dati può comportare un danno per i singoli. E', quindi, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all'organizzazione della stessa. 
 
Il sistema di tutela dei dati personali deve porre l'utente al centro, in tal modo obbligando ad una tutela effettiva da un punto sostanziale, non solo formale, cioè non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l'utente non è tutelato.

 

PRIVACY BY DEFAULT

Il principio di privacy by default stabilisce, invece, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

 
Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. 

L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.

TI PUO' INTERESSARE
> Scopri tutti i corsi
NEWS CORRELATE
> Scopri tutte le news