header-banner-image

Consulenza Privacy

Modello Organizzativo di Gestione e Controllo Privacy

Data: 16 Aprile 2018 Ore: 14:22

Consulenza per la Realizzazione di un Modello Organizzativo di Gestione e Controllo Privacy conforme al:
REGOLAMENTO (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. GDPR, General Data Protection Regulation.

In vigore dal 25 Maggio 2018


Premessa

Il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (di seguito anche il Regolamento) inerente il trattamento dati personali e nel contempo è stata emanata anche la Direttiva 2016/680 che prevede l'obbligo per gli stati membri di intervenire regolando anche aspetti che non possono essere oggetto di un regolamento europeo (ad esempio sicurezza nazionale, attività degli organi giudiziari e di polizia).
Il Regolamento, che si ribadisce è già legge, vedrà i pieni effetti a partire dal 25 maggio 2018 data che rappresenta di conseguenza il termine ultimo per organizzarsi e adeguarsi alle nuove regole si ricorda inoltre che i regolamenti UE sono immediatamente esecutivi e non richiedono recepimento da parte degli Stati membri.
LEGGE 25 ottobre 2017, n. 163
Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017. (17G00177) (GU Serie Generale n.259 del 06-11-2017)
Art. 13
Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE
LEGGE 20 novembre 2017, n. 167
Disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea - Legge europea 2017. (17G00180)
(GU n.277 del 27-11-2017)
Art. 28
Modifiche al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196. Decaduto


A. DESCRIZIONE DELLA CONSULENZA OFFERTA


1) Assunzione Annuale dell'Incarico di DPO Data Protection Officer, RPD Responsabile della Protezione dei Dati.

Secondo quanto previsto dal REGOLAMENTO (UE) 2016/679
Sezione 4
Responsabile della protezione dei dati
Articolo 37
Designazione del responsabile della protezione dei dati.
Articolo 38
Posizione del responsabile della protezione dei dati.
Articolo 39
Compiti del responsabile della protezione dei dati
1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
d) cooperare con l'autorità di controllo;
e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.
Il RPD Oltre a favorire l'osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), funge da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all'interno di un'azienda o di un ente.

Nota:

  • Facoltativo
  • Da Stabilire se obbligatorio DPO, in seguito alla valutazione dei punti 2) e 3).

2) Start up di progetto
Acquisizione delle informazioni preliminari, identificazione delle interfacce e definizione del Piano dei lavori di massima da seguire.

3) Gap di Verifica di impatto GDPR (General Data Protection Regulation)
Tale attività è di tipo diagnostico ed analitico ed ha l'obiettivo di analizzare lo stato dell'arte sia sulla norma in vigore, che sul gap con il GDPR e fornire un quadro sintetico della situazione attuale, degli scostamenti ed indicazione di come intervenire in termini organizzativi procedurali per poter raggiungere nei tempi dovuti la compliance alle nuove regole.

  • Redazione della documentazione di analisi specifica che sarà in prima battuta fornita ed esplicata al referente aziendale per procedere ad una prima attività di self assessment;
  • Invio self assessment al referente aziendale che si occuperà di governare internamente tale attività ed incontro di spiegazione degli obiettivi dell'analisi interna;
  • Formazione delle figure apicali aziendali sul contenuto del GDPR e sul Modello di Gestione in corso di realizzazione per poter permettere una reale e consapevole proattività nelle attività;

omissis

4) Realizzazione Modello Organizzativo di Gestione e Controllo Privacy
Supporto nella redazione ed adozione di un Modello Organizzativo Privacy/registro dei trattamenti.

  • Ai sensi dell'art.30 c. 1 del Regolamento generale sulla Protezione dei dati (Regolamento UE) 2016/679 verrà strutturato e reso disponibile un elenco in formato elettronico o cartaceo dei trattamenti del Titolare svolte sotto la propria responsabilità e, ove applicabile del suo rappresentante. Ai sensi degli Art. 5,13,14 del Regolamento (UE) 2016/679 il cliente sarà supportato nella redazione di una policy sui tempi di conservazione dei dati diversificata per tipologie di trattamento che il titolare dovrà verificare con i singoli professionisti/funzioni aziendali demandate alla gestione della specifica attività (Consulente del lavoro, commercialista...etc.);
  • Supporto nella definizione di un processo di valutazione dei rischi generali che incombono sui dati;
  • Supporto nella redazione/aggiornamento informative ai sensi degli art. 13/14 del Regolamento (UE) 2016/679;
  • Mappatura delle misure di sicurezza ex art. 32 GDPR;
  • Aggiornamento individuazione delegati privacy interni ed incaricati ai sensi degli art. 29 del Regolamento (UE) 2016/679;

omissis

5) Formazione Interna

L'attività prevede la formazione interna delle figure incaricate del trattamento dati per permettere una consapevole gestione delle attività quotidiane in linea con i dettami normativi e con i processi disegnati dal mangement aziendale.
Si ricorda che l'articolo 29 del Regolamento Privacy (UE) 2016/679 prevede che "Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito.
Si procederà quindi ad effettuare specifici richiami formativi per le seguenti aree, quando esistenti:
• Corso per delegati privacy interni (ex responsabili)
• Corso per incaricati al trattamento
• Corso specifico per HR
• Corso specifico per IT
• Corso specifico per Marketing commerciale Vendite

6) Audit e Riesame
• Audit per verificare lo stato di conformità aziendale al Sistema di Gestione dei Dati Personali, "Privacy",
• Relazione sullo stato di conformità aziendale in base a quanto emerso dall'Audit Interno;
• Eventuale Revisione Documentale.

Risultato previsto:
Attestazione Consulenza Integrata S.r.l. che l'Azienda ha adottato, attuato ed implementato un Sistema di Gestione dei Dati Personali "Privacy".

7) Ulteriori Attività da quotare a parte
Ulteriori interventi di consulenza Quali:

  • Redazione di una valutazione di impatto per i trattamenti ricadenti nella disciplina dell'art. 35 del Regolamento Privacy UE e ricompresi nell'elenco delle tipologie di trattamento soggette e pubblicate dall'Autorità di controllo (in fase di pubblicazione). Il documento è obbligatorio quando i trattamenti riguarderanno nuove tecnologie e presenteranno rischi elevati per gli interessati in relazione alla natura, il campo di applicazione, il contesto e finalità di trattamento, per i diritti e le libertà delle persone fisiche;
  • Affiancamento nella Stipula di un DTA attraverso Standard Contractual Clauses (clausole contrattuali tipo come definite dalla Commissione Europea) funzionale a garantire il trattamento dei dati con adeguate garanzie ai sensi dell'art. 46 del Regolamento 2016/679.

omissis


Consulenza per il Mantenimento del Sistema di Gestione
Audit e Riesame del Sistema di Gestione dei Dati Personali "Privacy"
• Adeguamento a fronte di eventuali novità legislative o modifiche organizzative;
• Audit per verificare lo stato di conformità aziendale al Sistema di Gestione dei Dati Personali "Privacy".
• Relazione sullo stato di conformità aziendale in base a quanto emerso dall'Audit Interno.
• Eventuale revisione documentale.

Annualmente verrà concordato, tra Consulente e Cliente, il numero di mezze giornate necessarie per ciascuna delle suddette fasi, in funzione delle specifiche necessità aziendali.
RISULTATO PREVISTO
Attestazione Annuale di Consulenza Integrata che la Società ha adottato, attuato ed implementato un Sistema Aziendale conforme alla legislazione vigente.


SANZIONI PRIVACY

L'art. 83 GDPR, rubricato "Condizioni generali per infliggere sanzioni amministrative pecuniarie", elenca i criteri che le singole Autorità di controllo dovranno applicare al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissarne l'ammontare.

Lo stesso articolo individua due classi di violazioni:
Comma 4: fino a 10 MIL € o fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore per la violazione dei seguenti obblighi:

Gli obblighi del Titolare del trattamento e del Responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 (es. violazione dell'obbligo di tenuta registro dei trattamenti, mancata valutazione di impatto DPIA; omessa consultazione preventiva Autorità di controllo, omessa notifica data breach);
Gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
Gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4.

Commi 5 e 6: fino a 20 MIL € o fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore per la violazione dei seguenti obblighi:

I principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 (es. principi di liceità, correttezza e trasparenza, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, diritto di revoca del consenso);
I diritti degli interessati a norma degli articoli da 12 a 22 (es. diritti di accesso, rettifica, cancellazione, portabilità dei dati, opposizione);
I trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
Qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
L'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

In merito alle altre sanzioni, tra cui le sanzioni penali, l'art 84 GDPR attribuisce delega agli Stati membri all'adozione di tutti i provvedimenti necessari per assicurarne l'applicazione. Sino a nuovi provvedimenti legislativi, restano in vigore le sanzioni penali previste dal Codice privacy (d.lgs. 196/03).


Consulenza Privacy

Consulenza Sicurezza delle Informazioni ISO 27001

Avere una Società di Consulenza di supporto rappresenta per l'azienda la possibilità di raggiungere e mantenere la conformità legislativa e di essere affiancata in qualsiasi tipo di ispezione e controllo da professionisti in grado di rispondere efficacemente e reperire la documentazione richiesta.

ALLEGATI
guida all'applicazione del regolamento ue 2016-679
Scarica l'allegato
Information technology — Security techniques — Code of practic e for personally identifiable information protection
Scarica l'allegato