Ambiti

Servizi

Scadenze

Sicurezza dati e Privacy

GDPR Reg. Eu. 679/2016

Il prossimo 25 maggio entra definitivamente in vigore la nuova normativa in materia di trattamento dei dati personali (privacy).

A partire da tale data infatti il GDPR Reg. Eu. 679/2016 sarà il nuovo standard di riferimento per tutte le organizzazioni, di ogni dimensione, che trattano dati personali.

Il nuovo Regolamento sostituisce il D.Lgs. 196/03 che sarà abrogato.

La materia è articolata e richiede un’attenta analisi per evitare di incappare in pesanti sanzioni. L’argomento rappresenta certamente anche uno spunto per fare un check-up aziendale sul tema della sicurezza informatica a tutto tondo. I dati personali sono solo una parte dei dati trattati dall’azienda e la sicurezza degli stessi può determinare rischi per la sopravvivenza dell’organizzazione stessa.

NORD PAS si occupa di fornire consulenza in materia di sicurezza dei dati da oltre 15 anni in organizzazioni private e pubbliche. Il Data Privacy Team multidisciplinare di NORD PAS è composto da Avvocati, Sistemisti, IT Manager.

Supportiamo la tua azienda attraverso 4 fasi principali:

1. MAPPATURA

  • Analisi dell’organizzazione (funzionigramma) e mappatura delle Aree di Trattamento di Dati Personali attraverso interviste alle persone chiave dell’azienda e analisi dei processi e strumenti aziendali (sia per la gestione dei dati personali aziendali che per la gestione dei dati clienti presenti nelle piattaforme web utilizzate per lo sviluppo del core business dell’azienda:​ es. AREA IT, RISORSE UMANE, LEGALE, SALUTE E SICUREZZA, MARKETING. Le interviste seguiranno un percorso di dettaglio in funzione del ruolo svolto/area presidiata
  • Raccolta delle procedure e della documentazione attualmente utilizzata dall’Azienda
  • Report per ogni intervista condotta al fine di analizzare e condividere i risultati e individuare eventuali punti critici

2. ANALISI

  • Analisi dei flussi organizzativi e delle responsabilità aziendali in tema di privacy
  • Modalità di conferimento di responsabilità al trattamento dei dati
  • Strumenti e processi impattanti per la privacy
  • Modalità di raccolta del consenso al trattamento
  • Analisi delle fonti di trattamento

3. IMPLEMENTAZIONE

  • Adeguamento della documentazione riguardante incarichi, nomine, informative verso l’interno e l’esterno dell’organizzazione in funzione delle aree di trattamento individuate e delle misure attuate
  • Individuazione dei rischi per ogni area di trattamento individuata alla luce dello stato di attuazione delle misure tecnico/organizzative già attuate
  • Predisposizione del piano di azione eventuale per rafforzare le misure adeguandole a quanto richiesto dal GDPR
  • Predisposizione dei Registri di Trattamento dei dati per ogni area di trattamento individuata nelle fasi precedenti e del Data Privacy Impact Assessment

Adeguamento organizzativo aziendale: Classificazione dei Dati Personali con particolare attenzione ai dati sensibili e giudiziari (mappatura aree di trattamento); Gestione dati clienti e potenziali clienti (profilazione art. 9); Classificazione dei trattamenti; Atti di nomina organizzative (responsabile, incaricato, ADS ecc.); Redazione Registro delle attività di trattamento (art 30); Valutazione d’impatto sulla protezione dei dati (art. 35); Redazione di procedure per l’esercizio dei Diritti dell’Interessato.

Contrattualistica e modulistica: Redazione Informative privacy ex art. 13 Reg. 679/16 UE ai soggetti interessati (clienti, dipendenti, fornitori, utenti, ecc.); Redazione moduli “Richiesta consenso” privacy ex art. 7 Reg. 679/16 UE; altri regolamenti in adempimento a linee guida, provvedimenti generali o direttive dell’Autorità Garante per la protezione dei dati personali

Misure di sicurezza sistema informativo aziendale: Consulenza in collaborazione con VS referente informatico per definizione delle Misure di Sicurezza informatiche, logiche e logistiche dei trattamenti in base ai principi “privacy by design” e “privacy by default”; Consulenza in collaborazione con VS referente amministrativo per definizione delle Misure di Sicurezza organizzative e logistiche dei trattamenti in base ai principi “privacy by design” e “privacy by default”; Implementazione procedure data breaches; Adeguamento provvedimento autorità Garante Privacy in materia di “Amministratori di Sistema”

Trattamenti dal sito web: Indicazioni per l’adeguamento alla disciplina privacy nei processi di data entry; Analisi e redazione policy per cookies e tracciabilità; Analisi trattamento dati sito web e-commerce. Profilazione, marketing e mailing;

Trattamenti di videosorveglianza: Analisi congruenza su principio di necessità rispetto sistema di videosorveglianza esistente; Videosorveglianza: gestione accordo sindacale o autorizzazione Direzione Territoriale del Lavoro. Analisi e implementazione modulistica (nomina responsabile videosorveglianza, nomina incaricati videosorveglianza, nomina responsabile esterno e/o amministratore di sistema, informative, ecc.); Compliance Provv. Generale Autorità Garante per la protezione dei dati personali.

Verifica adeguamento “trattamenti speciali” (se presenti): Valutazione eventuali dati di geolocalizzazione e adeguamento adempimenti; Valutazione esistenza DB su profilazione a abitudini di acquisto consumatore; Valutazione esistenza DB su credit scoring consumatori; Trasmissione dati personali consumatori alle diverse sedi; Varie ed eventuali.

4. FORMAZIONE & COMUNICAZIONE

  • Condivisione del piano comunicativo della Policy Privacy (tempi, metodi, modalità)
  • Supporto nella definizione del piano formativo per il DPO o il Responsabile Privacy
  • Informazione, formazione degli incaricati al trattamento anche valutando modalità e-learning

ALTRI SERVIZI SPECIALISTICI A SUPPORTO

Le attività di dettaglio che possiamo fornire a corredo dell’adeguamento al GDPR sono molteplici e possono essere richieste in qualsiasi momento dal Cliente in funzione delle necessità. Le seguenti eventuali attività sono escluse dalla quotazione iniziale:

-      Svolgimento ruolo di “Responsabile Protezione dei Dati personali (RPD o DPO)”​: Qualora necessario/richiesto seguirà ulteriore e separata offerta tecnica ed economica, per la copertura del ruolo esterno di “Responsabile Protezione dei Dati personali (RPD o DPO)”

-      Coaching a neo DPO, o comunque a Responsabili Privacy, che intendono accrescere le proprie competenze sfruttando un percorso operativo in materia di sicurezza dei dati personali e comunque dei dati in genere

-      Consulenza legale/giudiziale e supporto nel caso di verifiche degli Organi di Controllo e/o esposti al Garante Privacy

-      Cyber Security Check-up , attraverso software, metodologie quali Vulnerability Scanning (simulando attacchi con stessa tecnologia utilizzata da cyber criminal), Penetration Testing (simulando attacchi hacker per misurare il livello di penetrazione del sistema), Web Application Testing (considera la vulnerabilità delle applicazioni web utilizzate dall’organizzazione, di norma infatti la maggior parte dei cyber attack proviene da punti associati all’uso di shopping card, online forum, blog, ecc.), Social Testing (consiste nel misurare la sicurezza dall’interno dell’organizzazione, ovvero considera la possibilità di crimini commessi dallo staff dell’organizzazione legati all’accesso alle informazioni)

-      Mantenimento periodico (annuale) del Sistema Gestione Data Privacy, attività di auditing periodica finalizzata alla verifica del Sistema Gestione Dati Personali, documentazione, prassi, fonti, liceità dei trattamenti, aree di trattamento, livelli di rischio, verifica delle misure tecnico/organizzative; aggiornamento normativo

Attraverso il Privacy Pack Q-81 HSE WEB APP, NORD PAS propone inoltre la possibilità di informatizzare il proprio Sistema di Trattamento dei Dati Personali.

Per informazioni sui nostri servizi e per concordare un incontro, potrete prendere contatti con la nostra segreteria commerciale:
e-mail: commerciale@nordpas.com
telefono: 0434 924154

In evidenza leggi tutte

  • Privacy: sanzioni ridotte per le contestazioni pendenti

    Sicurezza dati e Privacy

    Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni…

    leggi tutto
  • 19 settembre 2018 entra in vigore il Decreto legislativo 101 / 2018

    Sicurezza dati e Privacy

    Entra in vigore oggi, 19 settembre 2018, il Decreto legislativo 10 agosto 2018, n. 101.
    Il nuovo…

    leggi tutto

Info

Case study