Perché oggi per l’azienda è fondamentale la Privacy & GDPR Compliance?
Il Regolamento UE n. 679/2016 (“GDPR”) ha profondamente modificato la normativa privacy che l’azienda deve osservare.
Non basta effettuare l’adeguamento l’iniziale, ma è necessario monitorare costantemente che le procedure e le attività aziendali consentano di garantire un’adeguata protezione dei dati personali, che essi siano sempre raccolti e trattati sulla base di una corretta informativa e, quando occorre, del consenso dell’interessato.
I principali elementi che valutiamo per l’adeguamento dell’Azienda al GDPR sono:
- La tipologia di attività, per valutare quali siano i fattori principali di rischio (ad esempio, se l’azienda in questione è una Banca o un’Assicurazione, tratterà una mole di dati, anche di natura particolare e “sensibile”, maggiore di un’impresa di costruzioni);
- Il numero di dipendenti, che rappresenta un indice del livello di complessità dell’organizzazione aziendale da analizzare e delle persone potenzialmente addette al trattamento dei dati da formare e gestire;
- Il livello e la tipologia di organizzazione interna (es. esistenza di procedure operative formalizzate, certificazioni, ecc.);
- Le infrastrutture ed i servizi informatici di cui si avvale l’azienda;
- Il fatturato annuo, che contribuisce a definire il rischio legato alle sanzioni, che possono arrivare al 4% del fatturato annuale nei casi più gravi, fino ad un massimo di € 20.000.000.
Per l’adeguamento dell’azienda al GDPR deve essere svolto un lavoro incentrato su tre aspetti:
- analisi del contesto aziendale, dei dati trattati e delle modalità con le quali avviene il trattamento;
- riorganizzazione dell’intero sistema di trattamento dei dati personali, a partire da come i dati di clienti, potenziali clienti e fornitori entrano nella disponibilità dell’azienda, fino alle fasi del trattamento, della conservazione e della loro distruzione finale;
- adeguamento delle procedure e dei sistemi informatici deputati al trattamento dei dati, privilegiando soluzioni che possano garantire un adeguato livello di sicurezza.
Semplificando, i principali interventi che saranno svolti per l’adeguamento al GDPR sono:
- la ricostruzione di tutti i tipi di dati personali trattati e del loro percorso di ingresso in azienda e delle finalità dei trattamenti;
- l’analisi del rischio e l’eventuale necessità di procedere alla preventiva valutazione d’impatto sul trattamento dei dati (DPIA);
- l’esame e la revisione dell’informativa che viene resa agli interessati per il trattamento dei dati;
- l’esame e la revisione delle procedure con le quali viene resa l’informativa agli interessati;
- la verifica dell’acquisizizione del consenso degli interessati, ove necessario, e della successiva conservazione della prova del consenso ricevuto;
- la revisione ed aggiornamento della modulistica contrattuale con clienti e fornitori e delle iniziative pubblicitarie con le quali si raccolgono dati personali;
- la predisposizione dell’organigramma privacy aziendale, con l’individuazione degli incaricati del trattamento e di eventuali Responsabili del trattamento dei dati;
- la valutazione sull’opportunità/ necessità di istituire in azienda la figura del DPO (Data Ptection Officer o Responsabile della Protezione Dati);
- la predisposizione delle lettere di incarico per il personale interno, l’eventuale contratto con il DPO ed i contratti per il trattamento dei dati con i Responsabili del trattamento;
- l’istituzione del Registro dei Trattamenti del Titolare del Trattamento ed eventualmente del Responsabile;
- predisposizione delle procedure interne da osservare ed in particolare di quelle relative al CRM Inbound ed Outbound, al Marketing, alla gestione dei casi di violazione dei dati personali (data breach), alla gestione dei dati dati sensibili, all’esercizio dei diritti degli interessati previsti dal GDPR (es. accesso ai dati, rettifica, aggiornamento, cancellazione, portabilità dei dati, diritto all’oblio, ecc.), alla necessità di procedere ad una preventiva valutazione di impatto sul trattamento dei dati (DPIA);
- la revisione dell’intero impianto privacy del sito internet aziendale ed in particolale dell’informativa da rendere agli utenti ed ai clienti, della cookie policy da pubblicare sul sito e della struttura e funzionamento dell’eventuale area riservata.
Una parte del lavoro sarà svolta in stretto contatto con il Responsabile dei Sistemi informatici dell’azienda, per garantire che il trattamento dei dati sia protetto da adeguate misure di sicurezza.
Nel caso la complessità dell’organizzazione aziendale abbia portato ad istituire la figura del DPO (consulta le FAQ sul DPO), lo Studio potrà ricoprire e svolgere tale ruolo in outsourcing, sgravando l’azienda dai costi di assunzione di un nuovo dipendente con formazione specialistica e garantendo assistenza ed aggiornamento continuo del Modello Aziendale.
Infatti, l’Avv. Emanuele Nati ricopre dall’anno 2018 il ruolo di DPO ed ha conseguito la certificazione secondo la norma UNI 11697:2017.
Se vuoi maggiori informazioni, fissare un appuntamento presso la tua azienda o semplicemente un preventivo, scrivici (gratuitatemente e senza impegno) compilando il form qui sotto.