Consulenza in materia di Privacy e adeguamento al GDPR
Rizzato-Dainese dispone al suo interno di specifiche competenze per fornire un servizio di consulenza approfondito sull’applicazione e la gestione della normativa che regolamenta la protezione dei dati personali. Lo studio svolge inoltre l’incarico di DPO Data Protection Officer per enti a partecipazione pubblica in veste di organo di vigilanza e di Contatto con il Garante Privacy.
I nostri professionisti sono a disposizione per predisporre e mantenere un sistema organizzato di gestione e salvaguardia dei dati personali acquisiti su misura per la tua realtà.
Scopri le fasi del processo messo a punto dal nostro Studio per attuare un protocollo personalizzato di adeguamento del GDPR.
Audit, mappatura dei dati e individuazione dei soggetti coinvolti nel trattamento.
Il regolamento prevede innanzitutto un Audit dell’azienda per verificarne la conformità in materia di conservazione del trattamento dei dati.
L’Audit è basato su una mappatura preliminare dei dati oggetto di trattamento, che individua le categorie, le operazioni (modalità e luogo) e le finalità del trattamento stesso, con opportune verifiche formali ed evidenziate di situazioni critiche o prassi errate.
Alla mappatura dei dati, segue l’individuazione delle figure dell’organigramma coinvolte nel trattamento e la redazione di specifiche nomine di natura contrattuale.
L’attività di Audit prevede la raccolta diretta di informazioni sull’analisi della documentazione privacy attualmente in uso, l’esame delle procedure di trattamento e di conservazione attraverso intervista personale ai soggetti coinvolti nel trattamento.
Particolare attenzione è riservata all’esame delle procedure informatiche affinché rispettino le misure di sicurezza nella tutela dei dati e rispondano ai nuovi requisiti richiesti di privacy by design (protezione dei dati fin dalla progettazione), e privacy by default (protezione dei dati per impostazione predefinita), interfacciandosi se necessario con la software-house e il personale IT.
Documentazione e implementazione delle procedure.
L’attività di Audit, viene completata dall’analisi dei rischi connessi al trattamento e dalla creazione di un modello organizzativo che risponde al principio accountability, ispiratore della riforma.
Questo processo comporta necessariamente l’implementazione di una serie articolata di documenti, tra cui il Registro dei Trattamenti, il DPIA – Data Protection Impact Assessment, l’organigramma dei soggetti coinvolti e i relativi contratti di nomina, il codice di condotta, le informative privacy.
Il titolare del trattamento dovrà pertanto dare prova dell’adeguatezza del modello adottato a prevenire al massimo i rischi connessi al trattamento dei dati.
Oltre al titolare, il responsabile e gli incaricati del trattamento dei dati, in questa fase va inoltre valutata l’opportunità di nominare il DPO – Data Protection Officer, un organo di vigilanza chiamato a garantire indipendenza di giudizio, con competenze specifiche sulla normativa sulla Privacy, doti manageriali e familiarità con le tecnologie informatiche.
Formazione del personale
Affinché i processi organizzativi adottati non restino sulla carta, ma si traducano in azioni concrete e prassi comportamentali secondo il principio fondante del GDPR, l’Accountability, è necessario prevedere una fase di formazione del personale che compie le operazioni di trattamento dei dati.
Rizzato-Dainese è a disposizione per programmare corsi collettivi o individuali di vario livello o comunque fornire istruzioni precise agli operatori sulle procedure da seguire.
Vigilanza successiva
La valutazione dei rischi sulla Privacy e le scelte che ne conseguono devono essere sottoposte a continuo monitoraggio al fine di verificare la costante adeguatezza delle misure di sicurezza adottate.
L’insorgenza di nuovi rischi o criticità impone al titolare del trattamento di procedere a un riesame della valutazione. La sicurezza è un concetto da intendersi in modo dinamico e relazionale, pertanto anche la formazione e la sensibilizzazione del personale ai codici di condotta deve essere a sua volta oggetto di monitoraggio.