adeguamento privacy GDPR - Compliance privacy aziende, GDPR e sito web e-commerce

Dal 1985 servizi per la compliance aziendale
via Mons. Daniele Comboni, 3
35136 Padova
direzione 328.6241003
amministrazione 331.1880491
Vai ai contenuti

adeguamento alle normative sulla privacy

ADEGUAMENTO ALLE NORMATIVE SULLA PRIVACY

presentazione

Le norme che regolamentano e assicurano la tutela della privacy sono diverse e trovano applicazione in base alla gerarchia delle fonti giuridiche; abbiamo i regolamenti e le direttive europee, le normative nazionali, i provvedimenti del Garante, le linee guida EDPB.
La privacy compliance, intesa come la conformità alle normative sulla privacy, coinvolge l'intera infrastruttura aziendale; dalle risorse umane al marketing, dalla sicurezza informatica a quella dei lavoratori, dalla tecnologia ai sistemi C.R.M. dedicati alla customer experience ed altro ancora.
La attuale normativa di riferimento è il Regolamento UE 679/2016 conosciuto come G.D.P.R. (General Data Protection Regulation), che stabilisce gli adempimenti che devono essere adottati da tutte le imprese, associazioni, liberi professionisti ed istituzioni pubbliche nella raccolta, gestione, elaborazione, archiviazione e protezione dei dati personali delle persone fisiche.

I SOGGETTI OBBLIGATI ALL' ADEGUAMENTO

adempimenti obbligatori GDPR

I PUNTI PRINCIPALI DEL REGOLAMENTO EUROPEO 679/2016

La centralità dei dati personali: cambiamento della vision

La forza del Regolamento Europeo sulla Privacy GDPR 679/2016 (General Data Protection Regulation) è data dal diverso approccio con cui è necessario rapportarsi ai dati trattati, individuando modalità di raccolta, elaborazione, gestione e protezione personalizzate in base alla tipologia, quantità di dati raccolti e finalità di trattamento.
La raccolta di dati personali, proporzionale alle finalità del trattamento e la loro protezione, sono le fondamenta giuridiche del GDPR.
Il Regolamento punta su principi molto particolari che responsabilizzano il titolare del trattamento rispetto al FARE, il quale dovrà individuare le misure che garantiscano la protezione dei dati con riferimento alla struttura logistica, organizzativa, tecnologica della sua attività.

Accountability

Per attestare la conformità al Regolamento Europeo 679/2016, tutte le aziende con almeno 1 dipendente in organico, devono configurare un adeguato Sistema Gestione Privacy, da mantenere costantemente aggiornato.
Il Regolamento Europeo 679/2016, introduce il principio della accountability che potrebbe essere sintetizzato in due parole: responsabilizzazione e rendicontazione. In pratica,  viene lasciato ai titolari del trattamento dei dati il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati al fine di garantirne una adeguata protezione.
L'adeguamento normativo deve essere adeguatamente documentato e il titolare del trattamento dei dati deve essere, in ogni momento, in grado di dimostrare come ha implementato nel sistema azienda le adeguate misure giuridiche, organizzative e tecniche, per la corretta raccolta e protezione dei dati personali oltre a motivare le scelte adottate.

Privacy by design

Qualunque trattamento di dati va progettato e realizzato pensando a come garantire la riservatezza e la protezione dei dati personali che vengono trattati nello specifico progetto, individuando a priori eventuali rischi Privacy, tramite una Valutazione d'Impatto ex art. 35 GDPR.
Ad esempio se in un sito web si dà la possibilità ad un utente di effettuare una registrazione (per l'iscrizione ad una newsletter oppure per il download di informazioni) occorre definire quantità e tipologia dei dati che vengono raccolti e, sopratutto, se sono effettivamente necessari alle finalità dichiarate.
Non ci sono modeli predefiniti da applicare o requisiti minimi da rispettare e la responsabilità del titolare del trattamento è quella di progettare in modo adeguato ed approfondito ogni trattamento di dati, in relazione alle modalità del trattamento stessi e in particolare revisionare periodicamente:
  • l'uso di applicazioni software o infrastrutture hardware, interne e/o esterne;
  • il perfezionamento delle procedure commerciali e/o di marketing;
  • la progettazione strutturale e multidisciplinare di ogni trattamento.

Privacy by default

Devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.
Questo principio obbliga a trattare i dati personali solo nella misura necessaria alle finalità definite e per un tempo strettamente necessario a raggiungere tali finalità.

Diritti degli interessati

Il Regolamento attribuisce agli interessati l’esercizio dei seguenti diritti nei confronti del Titolare del trattamento:
  • Diritto di accesso (art. 15 GDPR): al fine di chiedere conferma che sia o meno in essere un trattamento di dati personali;
  • Diritto di rettifica (art. 16 GDPR): per chiedere di rettificare o integrare i dati forniti, qualora inesatti;
  • Diritto alla cancellazione (art. 17 GDPR): per chiedere che i dati trattati vengano cancellati;
  • Diritto di limitazione di trattamento (art. 18 GDPR): per limitarne il loro trattamento in futuro;
  • Diritto alla portabilità dei dati (art. 20 GDPR): al fine di ottenere una copia dei dati da trasmettere ad altro Titolare;
  • Diritto di opposizione (art. 21 GDPR): per opporsi in qualunque momento al trattamento dei dati.

Registro dei Trattamenti

Il Registro dei Trattamenti è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.
Nel Considerando 82 del GDPR si legge:
“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”.
Il Garante alla Privacy ha emanato una serie di istruzioni precise sulle modalità di tenuta del Registro dei Trattamenti, che deve essere predisposto dal titolare e/o dal responsabile del trattamento.
La corretta e completa redazione del Registro dei Trattamenti, costituisce uno dei principali elementi di accountability, poiché rappresenta lo strumento idoneo a fornire un quadro aggiornato dei trattamenti attivi.

Data Breach

Per DATA BREACH si intende una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Il Garante indica alcuni possibili tipidi violazione:
  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.
Per rispettare gli obblighi dell’art. 33 c.5 del GDPR, il Titolare del Trattamento deve predisporre e mantenere aggiornato un registro dedicato alla registrazione delle eventuali violazioni dei dati personali, in cui annotare tutte le violazioni avvenute comprese quelle che non vanno notificate al Garante Privacy.

Informative clienti – fornitori - dipendenti

Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme sotto forma di una informativa come indicato agli artt. 13 e 14 del GDPR.
L'informativa è una comunicazione rivolta all'interessato che ha lo scopo di informare la persona fisica, ancor prima che questa diventi interessato (cioè prima che inizi l'effettivo trattamento dei suoi dati), sulle finalità e le modalità dei trattamenti eseguiti dal titolare o dal responsabile al trattamento,
Gli articoli 13, paragrafo 1, e 14, paragrafo 1, elencano i contenuti obbligatori dell’informativa.

Nomine e autorizzazioni

Ai sensi dell'art. 29 del GDPR chiunque tratta dati personali per conto del Titolare del Trattamento deve ricevere specifiche istruzioni sulle modalità di trattamento dei dati, attraverso uno specifico documento di nomina.
Il Titolare può ricorrere a:
  • Responsabili del Trattamento, in genere fornitori di servizi esterni alla azienda, cui il Titolare del trattamento affida in elaborazione out-sourcing, i dati personali;
  • Soggetti Autorizzati, costituiti in genere dai dipendenti del Titolare ai quali vengono attribuiti particolari privilegi di accesso e istruzioni per accedere e trattare i dati delle persone fisiche.

Procedure interne

Il Titolare del Trattamento regola la propria attività mediante specifiche procedure in grado di dimostrare la conformità al GDPR e in particolare deve predisporre e divulgare all'interno della propria azienda, dei protocolli operativi quali, ad esempio:
  • Procedura per la gestione delle violazioni dei Dati personali (Data Breach);
  • Procedura per la gestione esercizio diritti interessati;
  • Disciplinare operativo per la gestione degli strumenti informatici aziendali e degli altri device eventualmente connessi alla rete aziendale;
  • Disciplinare privacy per chiunque effeetti, dall'esterno, l'accesso ai dati;
  • Manuali operativi con precise e specifiche istrtuzioni per ogni tipologia di trattamento.

Formazione

Agli artt. 29, 32 e 39 del Regolamento UE 2016/679 (GDPR) viene sancito l’obbligo della formazione di tutti i lavoratori e collaboratori (interni e/o esterni) che trattano dati personali di persone fisiche per conto del titolare del trattamento.
Il Garante ha raccomandato di definire un programma di formazione e di predisporre, per eventuali verifiche ispettive, la documentazione che rappresenti l’evidenza della formazione erogata, come ad esempio dispense e risultati dei test di apprendimento.

Data Protection Officer

Il DPO ricopre un ruolo particolare nella gerarchia delle figure soggettive definite dal GDPR ed è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
E' una figura autonoma, che esegue le proprie funzioni in completa indipendenza, e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti, dovranno fornire le risorse necessarie.

Analisi rischi e sicurezza

Il titolare del trattamento dei dati ha il dovere di effettuare una adeguata analisi dei rischi che incombono sui trattamenti dei dati e sui dati stessi e analizzare se le misure prese per la tutela dei dati siano conformi a quanto previsto dalla. L’analisi deve identificare tutti i possibili rischi connessi al trattamento e adottare in conseguenza misure adeguate che tengano in conto dei principi di privacy by design e by default. Infatti il regolamento impone di progettare sistemi di trattamento già disegnati sul principio della protezione dei dati personali, e che abbiano come impostazione predefinita solo l’utilizzo di dati necessari per le loro finalità.
Brochure degli adempimenti obbligatori al Reg.UE 679/2016, classificati per dimensione e tipologia aziendale  
Guida all'applicazione del Regolamento UE 679/2016 - Garante per la protezione dei dati Personali
Regolamento UE 679/2016 - Garante per la protezione dei dati Personali
Codice Privacy 196/2003 modificato dal D. Lgs. 101/2018 - Altalex

IL NOSTRO INTERVENTO

Mettiamo a disposizione uno staff di professionisti specializzati nelle discipline informatiche, tecniche, giuridiche, per valutare l’affidabilità dell’attuale stato organizzativo, tecnologico e formativo aziendale, attraverso un INTERVENTO DI ADEGUAMENTO MULTIDISCIPLINARE che prevede:
  1. Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
  2. Redazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili;
  3. Stesura/Modifica della documentazione obbligatoria e facoltativa affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;
  4. Individuazione dei ruoli e delle responsabilità e nomina dei soggetti (interni e/o esterni) che effettuano il trattamento dei dati;
  5. Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR per il principio di responsabilizzazione del titolare (accountability);
  6. Stesura della procedura personalizzata di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
  7. Stesura della procedura personalizzata per la Gestione dei Diritti degli Interessati: al fine di rispondere alle disposizioni del Regolamento in caso di istanze degli interessati;
  8. Redazione delle informative sulle modalità di trattamento dei dati e dei modelli per la raccolta dei consensi al trattamento;
  9. Valutazione dell’adeguamento del sito web e/o del portale di e-commerce alle varie normative in materia di privacy.

MAGGIORI INFORMAZIONI

Per ottenere maggiori informazioni sulle modalità di adeguamento alle normative privacy della vostra azienda, compilate il form che trovate in fondo alla pagina, specificando dimensioni, tipologia dell'azienda, settore di business e numero di dipendenti.
logo studio maggiolo pedini associati
via Mons. Daniele Comboni, 3
35136 Padova
direzione 328.6241003
amministrazione 331.1880491
Privacy Policy    |    Note legali    |     Codice Etico
Copyright © studio maggiolo pedini associati   |   p. iva 03610290284
associato
logo-feredprivacy






Informativa breve trattamento dei dati
In riferimento alla legislazione vigente in materia di privacy, il trattamento dei dati forniti è finalizzato esclusivamente per rispondere ai servizi richiesti. Ho letto la vostra informativa sulla privacy e acconsento al trattamento dei dati forniti con l'invio di questa email, per poter ricevere newsletter, informazioni sulle vostre attività e/o inviti a seminari, e/o convegni. In qualsiasi momento posso revocare il consenso come indicato nella vostra informativa privacy trattamento dati web.

acconsento
non acconsento
Torna ai contenuti