Loading...

GDPR

/GDPR
GDPR 2018-03-30T16:46:21+00:00

GDPR è l’acronimo di General Data Protection Regulation ovvero il Regolamento generale sulla protezione dei dati. Predisposto dalla Commissione Europea e già in vigore da quasi due anni in tutta Europa e il termine ultimo per aziende, professionisti e amministrazioni per mettersi in regola è il 25 maggio 2018.

In quanto Regolamento, non è stata necessaria una legge nazionale per l’adozione e di fatto in Italia sostituisce il D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali” lasciando comunque inalterate le disposizioni della Direttiva 2002/58 e quelle della Direttiva 2009/136.

Le principali novità del Regolamento sono:

  • Privacy by Desing e Privacy by Default che implicano un approccio proattivo al problema della privacy e non più l’adeguamento a un insieme di misure minime di scurezza.
  • Accountability: impone al titolare del trattamento misure tecniche e organizzative adeguate per garantire, e dimostrare, che il trattamento dati è conforme; Impone quindi la necessità di dotarsi di un registro del trattamento, l’adesione a codici di condotta e suggerisce un meccanismo di certificazione.
  • Il trattamento di categorie particolari di dati personali e nuovi diritti degli interessati: il diritto all’oblio e il diritto alla portabilità dei dati
  • La valutazione di impatto sulla protezione dei dati.
  • La nomina di un Data Privacy Officer.
  • Un nuovo sistema sanzionatorio con multe fino a 20 ml€ o 4% del fatturato a chi non si adegua o nei casi in cui emergano carenze regolamentari a seguito di una violazione dei dati.

L’adesione alla norma non può più essere un semplice adempimento, più formale che sostanziale, ma implica di impostare i processi, analizzare i rischi e gestire, nel tempo, i dati personali trattati.

Crinali forte della propria esperienza nell’ambito della tutela della Privacy e dei processi amministrativi, in particolare in ambito sanitario e regionale, ha allestito una task force interdisciplinare che si propone come un partner ideale per un’attività di Gap Analysis e Adeguamento, affiancando il personale e gli uffici preposti all’adeguamento secondo un approccio che analizzi sia gli aspetti prettamente organizzativi che giuridici tecnologici.

Il servizio offerto prevede:

Rilevazione e analisi dello scenario di riferimento

Si raccolgono e sia analizzano tutte le informazioni propedeutiche al proseguimento dell’analisi:

  • Rilevazione del modello organizzativo adottato per la gestione della conformità alla normativa di riferimento (ruoli e responsabilità).
  • Raccolta e analisi di tutti gli elementi già presenti e costituenti l’Impianto Privacy.
  • Individuazione dei referenti e degli interlocutori di progetto.
  • Al termine viene redatto un documento di focus con la descrizione dettagliata del perimetro d’intervento.

Esecuzione Assessment: Audit Organizzativo

Studio delle prassi generalmente utilizzate nella gestione degli aspetti relativi alla Privacy e conduzione di interviste con i responsabili interessati.  L’obiettivo è valutare l’adeguatezza delle misure di sicurezza tecnologiche e organizzative attualmente in essere in termini di esistenza, completezza ed efficacia, utilizzando come riferimento i requisiti definiti dalla normativa di riferimento.

Redazione reportistica: definizione Piano di Azione

Definizione dell’adeguatezza delle misure e delle soluzioni implementate in relazione ai requisiti dettati dalla normativa, supervisione delle implicazioni di natura giuridica e individuazione delle eventuali non conformità di natura tecnologica, organizzativa e procedurale. Stesura di un report di Gap Analysis e relativo Piano di Azione.

Revisione impianto documentale e predisposizione Registro delle attività di trattamento

A conclusione del servizio di Audit è prevista una fase conclusiva di redazione e revisione generale dell’impianto documentale obbligatoriamente previsto dalla normativa.