EKON S.r.l. >>> > Consulenza >>>
Consulenza Privacy Regolamento europeo
GDPR General Data Protection Regulation
La consulenza privacy e organizzativa consente il passaggio dal rispetto della normativa italiana tuttora in vigore e di prossima abrogazione alle rilevanti novità previste dal GDPR – General Data Protection Regulation che entrano in vigore in tutta l’Unione europea il 25 Maggio 2018.
Le implicazioni hanno consigliato di fare intercorrere due anni dalla approvazione della normativa alla sua applicazione contemporanea in tutti i Paesi UE, ma molte imprese stanno sottovalutando contenuti e tempi necessari per essere in grado di rispettare le nuove regole.
Consulenza privacy, come iniziare?
Rilevando lo stato organizzativo: mappatura dei processi interessati ai dati personali e loro flusso, ruoli e responsabilità, correlazioni con altri sistemi gestionali dell’impresa, contrattualistica dei servizi web e delle altre attività che hanno un nesso con i dati personali.
Effettuando la valutazione dei rischi inerenti la gestione dei dati personali e il correlato livello di sicurezze applicate.
Successivamente si passerà alla redazione o alla revisione del regolamento (policy o disciplinare) interno, alla formazione dei soggetti coinvolti nel trattamento dei dati personali, alla redazione del registro dei trattamenti, alla revisione dell’informativa, alla verifica delle modalità di consenso e alla valutazione complessiva di aderenza alla norma fino al raggiungimento degli obiettivi del progetto aziendale di Privacy by design e alla completa adesione al principio di Privacy by default.
Consulenza GDPR per la compliance Regolamento Europeo Privacy
Il Regolamento Europeo (UE) 2016/679, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di dati, è entrato in vigore il 24-05-2016 e diventerà direttamente applicabile in tutti gli stati membri a partire dal 25 maggio 2018.
Il Nuovo Regolamento, sostituirà il "Codice Privacy" in vigore dal 1º Gennaio 2004 e ri-definisce le figure di Titolare e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dall'attuale Direttiva 95/46 e dal Codice Privacy. Il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche all'adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.
L'assenza o inefficacia delle procedure costituisce per il Titolare fonte di responsabilità (principio di rendicontazione o di "accountability", artt. 24 e 32).
La violazione delle disposizioni del regolamento è soggetta a sanzioni, inasprite rispetto alle precedenti norme privacy, amministrative pecuniarie fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente.
Il Nuovo Regolamento, sostituirà il "Codice Privacy" in vigore dal 1º Gennaio 2004 e ri-definisce le figure di Titolare e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dall'attuale Direttiva 95/46 e dal Codice Privacy. Il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche all'adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.
L'assenza o inefficacia delle procedure costituisce per il Titolare fonte di responsabilità (principio di rendicontazione o di "accountability", artt. 24 e 32).
La violazione delle disposizioni del regolamento è soggetta a sanzioni, inasprite rispetto alle precedenti norme privacy, amministrative pecuniarie fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente.
Metodo
Risk Analysis, Risk Assessment,
Action List
Implementazione Sistema
Disamina dello stato della conformità alle norme privacy distinte.
Implementazione del Sistema Privacy attraverso la configurazione delle componenti quali registro trattamenti, identificazione asset, membri del sistema privacy, membri del sistema, registro data breach, Privacy Impact Assessment (DPIA) dei trattamenti che presentano un rischio elevato per le libertà e i diritti degli interessati.
Produzione di tutti i documenti prescritti dal GDPR: Registro dei trattamenti, lettere di nomina responsabili esterni (terze parti), incaricati al trattamento, procedure esercizio diritti interessati, procedura con controlli Privacy by Design/Default.
Fase 1: Risk Analysis, Risk Assessment, Action List
L'attività di indagine, analisi e rilevazione degli aspetti sulla conformità delle aziende alle norme vigenti, è svolta attraverso l'ausilio dei moduli predisposti alla rilevazione delle seguenti informazioni:
- Rilevazione dei dati dell'organizzazione, compreso il settore e il nome del rappresentante legale;
- Rilevazione/Indagine sullo stato di conformità dell'organizzazione alle norme privacy e di altre informazioni utili ai fini Privacy;
- Rilevazione dei trattamenti effettuati al momento della rilevazione;
- Rilevazione degli Asset intesi come beni materiali, immateriali, banche dati in possesso dell'organizzazione;
- Rilevazione dei membri coinvolti nel trattamento compresi dipendenti, collaboratori, fornitori che hanno, a qualsiasi titolo, accesso, diretto o indiretto, alle informazioni oggetto del trattamento;
- Rilevazione dei compiti svolti dai membri indicati al punto precedente;
- Censimento dei rischi e censimento delle misure adottate per la riduzione del rischio.
Fase 2: Implementazione Sistema online su Cloud Ius Privacy
L'implementazione del sistema privacy viene condotto insieme allo Staff qualificato di ekon, formato da professionisti certificati.
Funzioni gestite dal sistema :
Funzioni gestite dal sistema :
- Registro dei Trattamenti con esempi e modelli di riferimento.
- Membri privacy (tutti i soggetti che partecipano come incaricati o responsabili al sistema privacy).
- Asset (Applicazioni, Database, Archivi che contengono dati personali).
- Enterprise Risk Assessment, sistema di Risk analysis per la rilevazione degli impatti, minacce e calcolo residuo di rischio informatico o fisico.
- PIA (Privacy Impact Assessment).
- Procedure (Diritti Interessati, Privacy by Design/ Default, Data Breach).
- Registro Data Breach.
- Audit Pianificati.
- Evidenze per le attività di Audit compiute.
Fase 3: Produzione Deliverables
- Descrizione del sistema privacy dell'organizzazione
- Informativa per il trattamento condotto dall'organizzazione rivolto ai:
- clienti;
- dipendenti;
- terzi;
- Registro dei Trattamenti;
- Enterprise Risk Management per la valutazione dei rischi relativi ad ogni Asset (database o applicazione);
- Identificazione dei trattamenti potenzialmente soggetti a PIA (Privacy Impact assessment);
- Web Documents: Informativa, Cookie Law;
- Asset, compresi i privilegi di accesso dei componenti del sistema privacy;
- Protocollo per il trattamento: lettere per la nomina dei soggetti autorizzati, comprensiva del protocollo per il trattamento dei dati, rivolta a:
- dipendenti;
- fornitori (terze parti);
- collaboratori dell'organizzazione;
- Procedure ed Istruzioni pianificate:
- Privacy by Design/Default;
- Diritti degli Interessati;
- Data Breach;
- Nomina ed Interruzione incaricati/responsabili;
- Assunzione nuovo dipendente;
- Licenziamento o fine rapporto;
- Misure minime ADS - gestione macchina utente;
- Gestione della sicurezza della Rete Locale;
- Dismissione fisica di una macchina;
- Dismissione logica di una macchina;
- Backup;
- Conservazione delle copie logiche e cartacee;
- Disaster Recovery e Business Continuity;
- Gestione delle credenziali di accesso: evidenze di consegna;
- Backup log dei sistemi interni e/o esterni all'organizzazione;
- Procedura gestione interruzioni pregresse (procedura di verifica periodica);
- Redazione Audit pianificati:
- Verifica dell'operato dell'Amministrazione di Sistema;
- Verifica dell'operato del Database Administrator;
- Verifica del mantenimento dei backup;
- Verifica sui backup e sulle simulazione di restore (disaster recovery);
- Verifica misure minime anti intrusione e anti deperimento;
- Verifica adeguamento misure minime su dispositivi WI-FI;
- Codice di condotta del personale:
- Internet;
- Posta elettronica
Assistenza e Consulenza Privacy Continua
I consulenti di EKON Ti forniscono assistenza continua e personalizzata per mantenere nel tempo il sistema privacy configurato; ti indicheranno cosa fare per ogni adempimento prescritto dalle norme privacy.