GDPR: cosa proponiamo per essere in regola

La Commissione Europea ha adottato nel 2012 la proposta di un Regolamento Generale sulla protezione dei dati che è stato approvato il 14 aprile 2016, dopo anni di complesse trattative.

Il nuovo Regolamento – General Data Protection Regulation o GDPR – è entrato in vigore il 24 maggio dello stesso anno e le aziende hanno 2 anni di tempo a partire da questa data per adeguarsi alle nuove direttive. La scadenza è fissata quindi a maggio 2018.

Il nuovo regolamento si fonda sui principi di:

• Privacy by design. Le misure di protezione dei dati devono essere attivate già in fase di progettazione di ogni progetto che comporta l’uso dei dati personali
• Privacy by default. Devono essere trattati di default solo i dati personali necessari in ogni fase del trattamento
• Accountability. Il titolare ha l’obbligo di:
  • Dimostrare il rispetto dei requisiti del regolamento
  • Avere un registro aggiornato delle attività svolte (con alcune eccezioni)
  • Ricorrere facoltativamente a codici deontologici e certificazioni

Inoltre, il regolamento introduce alcune novità rilevanti:

• Valutazione di impatto
• Adozione di misure di sicurezza idonee
• Individuazione e nomina del Data Protection Officer (DPO)
• Procedura di data breach management
• Registro dei trattamenti

IL NOSTRO MODELLO DI ADEGUAMENTO

Guttadauro ha definito un accordo di collaborazione con Getsolution, azienda di consulenza che opera in ambito compliance, sicurezza dei sistemi informativi e governance aziendale, certificata ISO 9001:2015, per la gestione di tutti gli aspetti di analisi e gestione dell’adeguamento al GDPR.

Getsolution è membro di UNINFO ed è delegata italiana ai lavori sulla Serie ISO/IEC 27000, ha partecipato in modo attivo alla redazione dello standard di sicurezza 27000:2013, alla traduzione della ISO/IEC 29100:2011 e alla redazione dello standard ISO “Profili professionali relativi alla Privacy” di prossima pubblicazione (progetto n. E14.D.0.003.6).

La costituzione di un asset di competenze trasversali tra Guttadauro e Getsolution permette di presentare alle aziende un piano di lavoro strutturato per valutare l’adeguamento alla nuova normativa in ambito di protezione dei dati personali.

Il progetto di adeguamento prevede innanzitutto la definizione di un assessment sullo stato di conformità al GDPR valutando, tra i tanti aspetti, la tipologia di dati raccolti, le finalità del trattamento, i ruoli e le responsabilità delle persone coinvolte.

In una seconda fase, si realizzerà il Data Protection Impact Assessment (DPIA) secondo la metodologia dell’ENISA (European Union Agency for Network and Information Security) e il Piano di Trattamento del Rischio (RTP), individuando le misure tecnologiche, organizzative e fisiche idonee che il Titolare deve implementare per tutelare i dati personali trattati nel rispetto dei principi fondamentali del Regolamento di “Privacy by Design” e “Privacy by Dafault”.

Sarà inoltre realizzata la documentazione prevista dalla normativa di legge (es. il Regolamento Interno per l’uso degli Strumenti Informatici e le Procedure per garantire all’ interessato il rispetto dei propri diritti sanciti dal Regolamento come il diritto alla portabilità, il diritto all’ accesso ai dati ed il diritto all’ oblio), il Registro dei trattamenti e la formazione per le nuove figure previste, tra cui Titolari, Data Protection Officer, responsabili del trattamento ecc.

Guttadauro e Getsolution potranno collaborare con le aziende nella gestione dei rapporti con l’autorità garante, ricoprire il ruolo di DPO esterno o far parte del team DPO eventualmente costituito dall’azienda stessa.

Per avere informazioni sul GDPR e per richiedere un primo confronto gratuito, contattaci compilando questo form.