Come essere in regola con la nuova normativa Privacy – GDPR

Con l’entrata in vigore della nuova normativa europea sulla protezione dei dati personali (GDPR, in vigore dal 25 maggio 2018), vi invitiamo a contattarci per conoscere le modalità con cui la Società di Servizi dell’Unione Industriali di Varese può assistervi nel percorso di adeguamento con un progetto personalizzato.

 

CONSULENZA

Univa Servizi mette a disposizione un servizio che prevede il supporto per l’analisi dei trattamenti di dati personali effettuati in azienda, l’individuazione degli eventuali scostamenti rispetto a quanto richiesto dalla legge, le indicazioni per la corretta implementazione della normativa nel proprio contesto aziendale, la produzione della reportistica attestante il modello di gestione privacy adottato.

Le problematiche prese in esame coprono aree tecniche, così come aree organizzative, metodologiche e giuridiche.

L’attività offerta ha l’obiettivo di:

  • favorire la completezza dei controlli,
  • fornire la documentazione e la reportistica che attesti l’accountability del Titolare,
  • evidenziare gli eventuali percorsi di adeguamento necessari,
  • rendere snelli e poco costosi i successivi percorsi di verifica periodica previsti dalla legge.

 

Formazione

Univa Servizi offre alle aziende assistenza e supporto per l’adeguamento al nuovo Regolamento Europeo n. 2016/679 GDPR (General Data Protection Regulation), attraverso la proposta di:
  •   Corsi di formazione finanziati
  •   Corsi di formazione a pagamento

I corsi di formazione in aula o in azienda sono rivolti a:

  • Titolari del trattamento
  • Responsabili del trattamento
  • Responsabili della protezione dei dati
  • Referenti privacy
  • Responsabili della compliance
  • Responsabili IT
  • Responsabili della qualità

 

Per saperne di più sulla normativa

Il nuovo Regolamento europeo per la protezione dei dati personali (Reg. UE 2016/679 Regolamento generale sulla protezione dei dati – GDPR) da maggio 2018 è pienamente applicabile in tutta l’Unione Europea.
Il Regolamento rafforza il diritto alla protezione dei dati personali ed introduce in capo ai soggetti che trattano dati personali specifiche responsabilità, azioni puntuali da compiere e mantenere nel corso del tempo e l’onere di affrontare “by design e by default” (cioè ex-ante e per impostazione predefinita) la gestione dei rischi connessi al trattamento dei dati personali.
In particolare, il Regolamento pone una nuova enfasi sulla protezione della persona fisica interessata al trattamento dei dati, attraverso il rafforzamento degli istituti dell’informativa, del consenso informato, e dei diritti riconosciuti. Il Regolamento inoltre insiste  sul principio di “accountability”, cioè di responsabilizzazione del titolare del trattamento (impresa, associazione, libero professionista).
Sulla base di questo principio, il GDPR struttura un sistema di regole che non esprime solo obblighi, ma soprattutto fornisce un quadro di riferimento composto da obiettivi (effettuare il trattamento nel rispetto dei diritti e libertà delle persone fisiche e dunque nell’ottica della prevenzione adeguata ed efficace del rischio insito nel trattamento) e dagli strumenti per raggiungerli.
È rimessa poi al Titolare la valutazione su come utilizzare tali strumenti e raggiungere gli obiettivi fissati, assumendosi la responsabilità dei risultati raggiunti.
Il Titolare è infatti chiamato ad individuare, tanto in fase di progettazione quanto in fase di esecuzione, la possibile esistenza di rischi di violazione dei diritti degli interessati, valutandone la natura, probabilità e gravità.
Il Titolare deve maturare autonome decisioni e farsi carico delle relative conseguenze, e deve essere in grado di dimostrare che il trattamento è conforme alle norme.
In questo contesto sorge a carico del Titolare l’onere di rivalutare integralmente la propria organizzazione aziendale nell’ottica di una ridefinizione dei trattamenti secondo i criteri stabiliti dal Regolamento: necessità, proporzionalità e minimizzazione dell’uso di dati personali; privacy by design e by default; costruzione di un sistema articolato, complesso e dinamico che sia in grado anche di dare evidenza del rispetto della normativa (principio di accountability).
Tutto ciò richiede in primo luogo l’adozione di strumenti per una completa mappatura dei trattamenti effettuati e di quelli progettati; mappare i processi è infatti necessario per effettuare l’analisi dei rischi da essi indotti sulla protezione dei dati, valutandone natura, probabilità e gravità ed individuando e attuando tutte le misure per attenuare il rischio.
Si rende poi necessaria la formalizzazione di policy e procedure, per essere in grado di dimostrare, anche a livello documentale, che i trattamenti mappati sono gestiti in conformità alla normativa.
Risulta quindi chiaro che non è più sufficiente limitarsi ad un rispetto “formale” della disciplina in materia di privacy, ma che occorre costruire un vero e proprio processo strutturato di gestione del sistema privacy.
Tale processo dovrà includere non solo l’analitica mappatura dei trattamenti, ma anche una precisa definizione e formalizzazione di ruoli e responsabilità dei vari attori coinvolti nei trattamenti di dati personali, con un conseguente impatto organizzativo rilevante e un’impostazione basata sul ruolo attivo degli attori coinvolti.