Compliance General Data Protection Regulation (GDPR)

Ci conosciamo e ci racconti di cosa si occupa la tua azienda, questa fase è di vitale importanza per conoscere le dinamiche aziendali, quali dati vengono trattati, da chi, in che modo, a chi eventualmente vengono comunicati sia in Europa che fuori dai confini dell’Unione, insomma una fase veramente fondante di tutto il lavoro successivo.

Nei fatti è un vero e proprio Audit e può essere gestito differentemente anche a seconda delle dimensioni aziendali organizzando delle vere e proprie interviste.

Entriamo nel dettaglio dei trattamenti, dei tipi di dati, dei soggetti interessati e redigiamo le informative. In questa fase utilizzando un apposito programma andremo a definire ogni trattamento, specificando se avviene in qualità di titolare o di responsabile.

Andremo a definire per ciascun trattamento i tipi di dati trattati, siano essi comuni, particolari ex art. 9 o particolari giudiziari ex art. 10 del GDPR. Quindi per ciascun trattamento indicheremo quali sono i soggetti interessati. Infine per ciascuno di essi stileremo la dovuta informativa.

Nella terza fase ci concentriamo su quella che chiamiamo amichevolmente la mappatura della struttura. Verifichiamo qui l’aderenza all’articolo 32 del GDPR che parla di misure tecnico organizzative adeguate a garantire la sicurezza dei dati personali trattati.

Quindi questa è la fase in cui mappiamo le varie sedi, gli uffici, e soprattutto analizziamo la struttura informatica e gli archivi cartacei. Sfruttiamo qui venti anni di esperienza nel settore informatico, per analizzare quello che è lo stato della data protection aziendale.

Privacy by Design: non è un vezzo, ma una precisa richiesta normativa, per capire quale sia la criticità della nostra struttura dopo averne definite le caratteristiche, dobbiamo condurre un risk assessment dettagliato per sedi, uffici, archivi e trattamenti.

Vale a dire per ciascuna di queste voci andremo a definire i rischi potenziali (che cambiano a seconda di cosa analizziamo sia esso un trattamento o un armadio di legno o un computer), poi per ciascuna voce andremo a definire con un algoritmo certificato il rischio residuale.

La DPIA non per tutti è obbligatori, sicuramente per la maggior parte delle situazioni potrebbe non essere necessaria, tuttavia eseguiamo sempre una DPIA su richiesta dell’assicurazione che certifica la nostra consulenza e la rende così garantita.

Pertanto, definiamo le ulteriori misure di minimizzazione dei rischi prese e da prendere a stretto giro di posta. In questo modo si punta ad abbassare il rischio del trattamento, chiaro è che all’analisi devono seguire delle azioni reali.

Anche la formazione è un preciso obbligo di legge. Fa parte del concetto stesso di accountability di quel complesso di fiducia e responsabilizzazione che deve essere messo in atto per ottenere una assoluta consapevolezza di quel che si fa coi dati.

Per questo è necessario formare il board perché prenda decisioni che siano fondate su basi corrette e non tratti i dati con leggerezza. Così come è necessario formare tutti gli addetti, interni e se disponibili esterni, perché sappiano come operare correttamente e cosa fare in caso di necessità.