
Consulenza Privacy e GDPR
Business Data Protection
Il GDPR, Regolamento Europeo 2016/679 relativo alle protezione dei dati personali dei cittadini, direttamente applicato in tutti gli Stati membri UE dal 25 maggio 2018, ha portato d un positivo innalzamento dell’attenzione al trattamento dei dati personali.
Alla consapevolezza delle persone fisiche “proprietarie” del dato (gli “interessati”) si è affiancata quella delle aziende e dei professionisti che, conformandosi ai nuovi obblighi e adottando nuove procedure organizzative consone alla tutela dei dati, possono “consolidare” l’asset costituito dai dati personali trattati, che assume un rilevante valore patrimoniale.
Neostudio supporta le aziende e i professionisti e fornisce una consulenza dedicata per l’adeguamento alle normative privacy e GDPR, valorizzando contemporaneamente gli asset e il know how aziendali.
Un approccio personalizzato è fondamentale in quanto il GDPR, oltre a esplicitare nuovi diritti come quelli alla Portabilità dei Dati e all’Oblio, sposa il principio di Accountability, abbandonando la logica delle regole “fisse” e richiedendo all’azienda la dimostrazione della adozione di adeguate misure di sicurezza, che si traducono, specie dove siano utilizzate tecnologie informatiche, nell’obbligo di soddisfare i principi della Privacy By Design e by Default.
Tali principi sono stati nel tempo declinati con specifiche linee guida, europee e nazionali, su temi quali l’utilizzo di APP, l’e-commerce e la profilazione, l’utilizzo di tecnologie nella gestione del personale e della produzione. Per questi come per altri particolari trattamenti sono stati introdotti obblighi specifici come la redazione della valutazione d’impatto privacy (DPIA) e l’obbligo di nomina del Data Protection Officer (DPO), nuova figura professionale di garanzia del rispetto delle norme e di supporto al titolare.
L’accompagnamento alla conformità al GDPR, visto quanto sopra, tramite un processo di Data Protection Risk Management prevede:
l’identificazione degli obiettivi del decisore aziendale: come intende acquisire e utilizzare i dati personali, e per quali finalità;
l’identificazione delle condizioni che rendono possibile il trattamento dei dati personali da parte dell’azienda, lasciando traccia delle condizioni di legittimità e del concreto e rilevante interesse al trattamento tenuto conto delle finalità;
le modalità di acquisizione dei dati personali e – dove necessario – del consenso degli interessati;
la valutazione dei rischi per gli interessati in caso di divulgazione o distruzione dei dati personali e le relative misure, esistenti o da implementare, volte alla riduzione dei rischi stessi.
Tali attività trovano adeguata rappresentazione documentale, a partire dalla definizione del Registro dei Trattamenti, come previsto dall’art. 30 del GDPR, punto di riferimento e di raccordo di tutti gli adempimenti, strumento che la Società può essere chiamata a mettere a disposizione dell’Autorità Garante per la protezione dei dati personali, per proseguire con procedure che non siano solo “privacy-specifiche”, bensì collegate all’intero corpo procedurale della Società, anche mediante la costruzione di specifiche matrici di corrispondenza, in grado di identificare adempimenti, misure attuative, presidi esistenti e azioni di miglioramento in grado di gestire in modo adeguato l’eventuale rischio residuo.
Richiedi informazioni