Pulsantiera di navigazione Home Page
Pagina Facebook Pagina Linkedin Canale Youtube Versione italiana
Adeguamento GDPR & Privacy

Servizio di adeguamento GDPR & Privacy

In questa sezione sono illustrati i contenuti, le finalità e le modalità di esecuzione del cosiddetto “Servizio di adeguamento GDPR & Privacy”, inteso come insieme di servizi legali ed informatici specialistici e personalizzati in materia di adeguamento delle politiche di trattamento dei dati personali.

Il “Servizio di adeguamento Privacy” (di seguito, “Servizio”) è  finalizzato a consentire ai titolari del trattamento (siano essi soggetti pubblici o privati) di rispettare pienamente tutti i vincoli normativi in materia di data protection così come previsti sia dal Regolamento Generale UE sulla protezione dei dati personali 679/2016 ("GDPR") che dal decreto legislativo 30 Giugno 2003, n. 196 recante il Codice della privacy così come novellato e coordinato al Regolamento.

Il servizio mira altresì a garantire la conformità delle politiche del trattamento a tutti i vincoli regolamentari prescritti sia dal Comitato Europeo per la Protezione dei Dati Personali (es: Linee Guida e provvedimenti setoriali di implementazione del GDPR) che dal Garante privacy nazionale (es: Provvedimenti o Autorizzazioni Generali del Garante privacy per particolari categoria di titolari e trattamenti). 


Il Servizio ha le seguenti caratteristiche.

In una prima fase viene condotta l’analisi delle attuali politiche di trattamento dei dati personali in essere presso l’organizzazione del titolare del trattamento. Tale fase dell’assistenza è propedeutica alle successive attività di adeguamento legale e tecnico. Essa prevede un censimento generale di tutti i trattamenti di dati personali in essere presso la struttura. L’analisi è finalizzata ad una prima verifica preventiva circa la conformità delle relative operazioni a GDPR, al Codice della privacy - se applicabile - alle Linee Guida europee di implementazione del GDPR ed ai Provvedimenti Generali dell’Autorità Garante per la protezione dei dati personali, con riferimento a vari trattamenti (di tipo amministrativo, lavoristico, contabile, previdenziale, etc) ed a varie categorie di interessati (es: clienti, personale dipendente, collaboratori esterni a qualsiasi titolo, fornitori, società, amministrazioni pubbliche, etc).


La verifica viene effettuata:

1)            attraverso l’invio di un dettagliato questionario (”Check List Privacy”) da compilarsi ad opera dei vari responsabili dell’ente, ciascuno per i trattamenti di propria competenza. Le risposte definiranno un primo scenario relativo alle politiche di trattamento dei dati personali come in concreto implementate dall’ente;

2)            attraverso successiva e fondamentale attività di audit (da svolgersi presso la sede del titolare del trattamento) di approfondimento degli esiti del questionario e di acquisizione di ulteriori informazioni e documenti circa le politiche di trattamento dei dati personali in essere.

Effettuata la verifica preliminare ad ampio raggio di cui sopra e relativa a tutti i trattamenti di dati personali, si procede all’adeguamento personalizzato delle politiche di trattamento dei dati personali, in base a quanto segue.

A titolo esemplificativo i servizi prestati in questa fase riguardano:
  1. redazione - ove l'ente faccia parte di un gruppo sociateraio che tratta i dati delle persone fisiche in contitolarità tra le varie società - dell'accordo di contitolarità ai sensi dell'articolo 26 del GDPR;
  2. redazione personalizzata degli atti di nomina a Responsabile del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal Regolamento) ai sensi dell'art. 28 del GDPR e strutturazione della procedura di conferimento delle nomine;
  3. redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del GDPR – di quelli che la normativa italiana ha fino ad oggi definito “incaricati el trattamento”; il GDPR non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal Regolamento UE;
  4. strutturazione del Registro delle attività del trattamento, adempimento documentale previsto dall'articolo 30 del GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile del trattamento;
  5. revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art. 13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi se questa è la base giuridica del trattamento);
  6. adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del GDPR a tutela degli interessati;
  7. revisione dei processi e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi od organizzazioni internazionali non ubicati nella Unione Europea;
  8. implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d'impatto sulla protezione dei dati” (Privacy Impact Assessment o PIA) secondo cui quando il trattamento prevede in particolare l'uso di nuove tecnologie e considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali e la documenta;
  9. implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;
  10. implementazione dei processi e della documentazione volti a garantire il nuovo diritto alla portabilità dei dati;
  11. implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal GDPR.
L’elencazione di cui sopra è esemplificativa. Gli adeguamenti riguardano altresì la conformità delle politiche di trattamento dei dati a prescrizioni specifiche applicabili a diverse categorie di titolari del trattamento pubblici  o privati.

Una corretta e completa assistenza in materia di adeguamento dei trattamenti di dati personali al GDPR Codice della Privacy non può ovviamente prescindere dall’importante tematica - sia di tipo legale che, soprattutto, di tipo tecnico-informatico – della adozione delle misure di sicurezza nel trattamento richiesta dall'articolo 32 del GDPR. Il Servizio include anche gli adeguamenti specialistici in tale ambito.

Nel file qui disponibile sono riportate alcune slides che riassumono in pillole operative gli obblighio  del GDPR.

Laddove i titolari del trattamento interessati ritengano che le politiche di trattamento dei dati personali in essere presso le loro organizzazioni non siano rispondenti (o non pienamente conformi) agli obblighi privacy previsti dalla normativa, essi potranno richiedere i servizi di assistenza legale specialistica offerti e nel caso inviare una richiesta attraverso il modulo Contatti nella apposita sezione.
Stampa la pagina