Adeguamento al GDPR
La Compliance diventa mission aziendale
Dal 25 maggio 2018 è entrato ufficialmente in vigore in tutti gli Stati membri dell’Unione Europea il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) – Regolamento Europeo UE 2016/679, che con i suoi 99 articoli ha ridisegnato la disciplina della Privacy a livello europeo.
Tale Regolamento comporta importanti cambiamenti nel trattamento dei dati personali nonché alla libera circolazione di tali dati: coinvolge sostanzialmente tutte le imprese, introducendo nuovi diritti per gli interessati (ovvero, le persone fisiche di cui si raccolgono e trattano dati personali di varia natura) e specifici doveri in capo a coloro che trattano in azienda i dati personali (Titolare del Trattamento, Responsabile del Trattamento, soggetti autorizzati al Trattamento, Destinatari), con un sistema sanzionatorio particolarmente gravoso (fino a 20 milioni di € o al 4% del fatturato globale) e con la possibilità per l’interessato di richiesta risarcimento danni, anche se non meramente materiali, al Titolare del Trattamento.In sostanza il GDPR introduce nelle aziende una nuova impostazione sull’utilizzo di dati ed informazioni delle persone, basata sulla massima riduzione del rischio di violazione o uso improprio, imponendo al Titolare del Trattamento di adottare e rendicontare, nel corso del tempo, la reale efficacia delle misure di protezione adottate.
In generale questo nuovo Regolamento introdotto a livello europeo presuppone sempre più un adeguamento dei comportamenti e delle procedure piuttosto che un semplice rispetto normativo.
Cosa Facciamo
Guidiamo tutto il processo di adeguamento delle attività affiancando il management con strumenti e consulenti sempre aggiornati
Il Reg. Eu 679/2016 (GDPR) è un chiaro esempio di compliance normativa: i soggetti sono chiamati a adeguare comportamenti o processi per cercare di rispettare i principi delle norme e dichiarare il raggiungimento dell’obiettivo, consistente in comportamenti o processi svolti conformemente alle regole delle norme che si intendono adottare.
Come adeguiamo le aziende al GDPR
Realizzare un progetto di analisi di adeguamento al GDPR significa adottare un modello organizzativo efficiente in grado di controllare, rilevare e correggere in modo dinamico e tempestivo le discordanze dalla normativa vigente garantendo una piena e continua conformità ai principi della legge che si intende applicare.
Di seguito si elencano le fasi salienti del nostro intervento:
1) Audit Iniziale e Audit Finale
L’audit è lo strumento per eccellenza per valutare e monitorare l’adeguatezza delle misure adottate. Solo in questo modo, ragionando cioè in termini sistemici e procedurali, si riesce a salvaguardare il patrimonio dell’organizzazione, sia essa azienda o studio professionale.
Durante questa fase l’auditor dovrà procedere a verificare se una procedura o una intera organizzazione aziendale è conforme o meno al GDPR attraverso l’uso di questionari e software in grado di fotografare la situazione iniziale e finale dell’organizzazione.
2) Individuazione di tutti i Trattamenti
I trattamenti rappresentano qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
Tutte queste attività verranno individuate con cura mappando ogni singolo processo aziendale.
Per quanto riguarda i diritti degli interessati molta attenzione verrà prestata alla preparazione della documentazione legale per permettere a questi soggetti di esercitare tutte le facoltà a loro riservate dalle norme.
3) Analisi dei rischi e DPIA se necessaria
Costruire un buon sistema di gestione delle informazioni conforme alla normativa, GDPR , significa raccogliere, elaborare dati in modo sistemico, saper gestire i rischi legati alla riservatezza, all’integrità e alla disponibilità delle informazioni. Significa anche sapersi coprire dall’evoluzione delle minacce e dei rischi per tali dati che il progresso tecnologico inevitabilmente rappresenta.
Ogni trattamento può comportare un rischio per i diritti e le libertà delle persone interessate.
La valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri.
L’impatto di ogni trattamento viene valutato secondo il concetto di perdita di:
- riservatezza;
- disponibilità;
- integrità.
Per ogni trattamento si evidenziano i possibili rischi conseguenti. Questi ultimi possono derivare da:
- comportamento umano:
- dagli strumenti utilizzati;
- dal contesto in cui opera l’organizzazione.
Per ognuno di questi si stima la probabilità di accadimento
Le misure di sicurezza devono essere approntate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”
Le misure di sicurezza sono tratte dallo CNIL – tool di valutazione d’impatto sulla privacy e sono:
- funzionali;
- tecniche;
- organizzative
Alla fine del processo analitico svolto si passa alla formulazione di un giudizio finale per stabilire la rischiosità del trattamento evidenziato. Tale giudizio verrà evidenziato attraverso l’uso di un software avente un algoritmo proprietario elaborato per il presente scopo.
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti.
Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.
Attraverso un software dedicato tutta questa fase fase viene gestita con la massima cura.