Poponiamo e gestiamo le soluzioni per tutte le esigenze: una piccola zienda famigliare o una multinazionale troveranno nel nostro approccio e nella nostra professionalità, tutte le risposte alle esigenze nel settore privacy.
Uno staff di esperti, consulenti certificati e DPO sono a vostra disposizione per gestire, con una modalità scalare, la privacy e la sicurezza dei dati trattati. Tutela dei dati e protezione dalle sanzioni.
VERIFICHIAMO LA SICUREZZA DEI DATI PERSONALI TRATTATI
Ti guidiamo nel processo di valutazione dei rischi e, attraverso una procedura guidata, determiniamo con te tutte le misure necessarie per trattare correttamente i dati personali ed evitare sanzioni.
MONITORIAMO TUTTO IL PROCEDIMENTO DEL TRATTAMENTO DEI DATI
Configuriamo correttamente la gestione dei dati dei nostri clienti e, attraverso un procedimento dettagliato, li aiutiamo a tenere sempre sotto controllo tutta la struttura organizzativa.
Monitoriamo la liceità dei trattamenti e ne verifichiamo la messa in sicurezza.
PRODUCIAMO TUTTA LA DOCUMENTAZIONE NECESSARIA
Generiamo i registri dei trattamenti, gli atti di nomina e i contratti permettendoti di archiviare e tenere traccia di tutti i documenti prodotti. Ti generiamo delle procedure snelle e corrette per informare correttamente i soggetti interessati, raccogliere il consenso e generare la cookie policy.
STAMPIAMO SOLO IL NECESSARIO
L'evoluzione tecnologica e la normativa di riferimento ci consentono di generare pochissima carta. Solamente lo stretto necessario verrà stampato su carta a tutela del nostro cliente. Tutta la documentazione di valutazione, e le informative, saranno tenute sempre aggiornate su server dedicati, tutto nel più completo rispetto della normativa e dell'ambiente.
È il primo passo per l'approccio al GDPR.
Un'attività di formazione preliminare con il board dirigenziale finalizzata alla comprensione del GDPR, verrà identificato il referente interno per la nostra attività, verrà analizzata l'azienda e redatto il PRE-assestment (una foto iniziale della compliace aziendale al GDPR) e successivaemnte la GAP ANALISYS, il cammino che ci separa dalla compliance; è il primo documento certificato che identifica il cammino da percorrere assieme verso la completa compliance.
I nostri consulenti vi guideranno con delle domande dirette a conoscere in che modo i dati vengono raccolti e trattati: se esistono già dei sistemi di sicurezza attivi volti a proteggere i dati conservati, dei sistemi di backup, firewall, antispam.
Attenzione: l’audit e il regolamento GDPR non riguarda solo gli archivi digitali, ma anche quelli cartacei!
L’audit non dovrà trascurare anche questo aspetto, situazione frequente nella Pubblica Amministrazione e nelle cliniche, dove sono conservati dati sanitari e quindi, sensibili.
PERCHE' E' IMPORTANTE?
Per capire quanto sia importante l’Audit Privacy facciamo un passo indietro per focalizzare meglio il quadro d’insieme.
Il ruolo del responsabile della protezione dei dati (il privacy officer) nel nuovo Regolamento europeo ha un ruolo proattivo. È sua responsabilità la gestione dei dati aziendale: dalla prevenzione del rischio di violazioni (per evitare sanzioni), fino alla gestione delle eventuali violazioni.
In altre parole, la norma europea implica per le aziende italiane un ribaltamento della mentalità normativa per come era vista sino ad oggi: da obbligo a processo aziendale.
Il primo passo per mettersi a norma, dunque, è l’Audit, con lo scopo di:
È la parte di analisi dei rischi aziendali e la redazione di una documentazione con valore legalew che possa dimostrare che l'azienda ha impostato i suoi processi iin un ottica di tutela della privacy delle persone. Il cuore della nostra attività consulenzile.
Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy.
I principi che reggono il sistema sono i seguenti:
- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione;
- privacy come impostazione di default;
- privacy incorporata nel progetto;
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
- sicurezza durante tutto il ciclo del prodotto o servizio;
- trasparenza;
- centralità dell'utente.
L'obbligo di privacy by design è basato sulla valutazione del rischio, così come altri obblighi (es. notifica ai Garanti nazionali), per cui le aziende dovranno valutare il rischio inerente alle loro attività. Tale valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore.
L'approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo.
Un approccio RISK BASED
Un approccio risk based ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha anche lo svantaggio di delegare all'azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni. ECCO L'IMPORTANZA DI UN SISTEMA CERTIFICATO DA PARTE TERZA COME PRIVACYLAB
E' un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all'organizzazione della stessa.
Il sistema di tutela dei dati personali deve porre l'utente al centro, in tal modo obbligando ad una tutela effettiva da un punto sostanziale, non solo formale, cioè non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l'utente non è tutelato.
PRIVACY BY DEFAULT
Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l'autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l'impatto del trattamento non siano ritenute sufficienti - cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.
QUANDO LA DPIA E' OBBLIGATORIA?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
- trattamenti valutativi o di scoring, compresa la profilazione;
- decisioni automatizzate che producono effetti giuridici significativi (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
- monitoraggio sistematico (es: videosorveglianza);
- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
- trattamenti di dati personali su larga scala;
- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene ad esempio con i Big Data);
- dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani etc);
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale etc);
- trattamenti che, di per sè, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
La DPIA è necessaria in presenza di almeno due di questi criteri ma, tenendo conto delle circostanze, il titolare può decidere di condurre una DPIA anche se ricorre solo uno dei criteri di cui sopra.
QUANDO LA DPIA NON E' OBBLIGATORIA?
Secondo le linee guida, una DPIA non è necessaria per i trattamenti che:
- non presentano rischio elevato per diritti e libertà delle persone fisiche;
- hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
- sono già stati sottoposti a verifica da parte di un Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità) non hanno subito modifiche;
- sono compresi nell'elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
- fanno riferimento a norme e regolamenti, UE o di uno stato membro, per la cui definizione è stata condotta una DPIA.
QUANDO VA CONDOTTA UNA DPIA?
La DPIA va condotta prima di procedere al trattamento.
Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione ad intervalli regolari.
A CHI SPETTA LA RESPONSABILITA'?
La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione può essere affidata ad un altro soggetto, interno o esterno all'organizzazione.
Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati DPO e acquisendo, se i trattamenti lo richiedono, il parere di esperti del settore, del responsabile della sicurezza dei sistemi informativi e del responsabile IT.
A fine delll'attività di consulenza viene richiesta un nuovo incontro con il board aziendale, vengono lasciate le licenze e gli accessi alla piattaforma Privacylab GDPR.
Con il referente aziendale, identificato per affiancarci nell'attività di consulenza, verrà effettuata nuovamente una GAP analisys e verrà quindi certificata la posizione di compliance aziendale.
Verranno presentate le informative, gli atti di nomina, i registri dei trattamenti interni e degli eventuali trattamenti conto terzi, il documento di Privacy by Design e l'eventuale DPIA.
Tutti i documenti generati hanno un numero identificativo univoco e sono sempre presenti nella piattaforma, a disposizione dell'azienda e delle autorità di controllo.
La documentazione generata è garantita a prova d'errore tecnico e il lavoro svolto dai nostri consulenti, anch'esso certificato è assicurato con i Lloyd.
Per un anno, i nostri consulenti saranno sempre. vostra disposizione per eventuali suggerimenti, aggiornamenti e adeguamenti del vostro sistema accedendo in modalità remota alla piattaforma e apportando tutte le modifiche necessarie che saranno immediatamente disponibili in piattaforma.