Consulenza GDPR

Il General Data Protection Regulation (GDPR) – Regolamento (UE) 2016/679 è la risposta dell’Unione Europea all’aumento esponenziale del ruolo che la tecnologia gioca oggi nella vita di tutti i giorni. GDPR è stato approvato dagli stati membri ad Aprile 2016 ed è entrato in vigore il 25 Maggio 2018.

T.net è un partner esperto nell’ambito della Data Security, sia in termini tecnologici che procedurali e normativi, pronto a garantirvi la massima tranquillità nell’affrontare il percorso di adozione di tutti gli elementi necessari e sostanziali di adeguamento normativi e nell’individuare i rischi ed i limiti dei Vostri Sistemi Informativi.

I passaggi necessari per adottare le misure adeguate al GDPR sono:

  • Analisi dei Rischi
  • Nomina dei Responsabili (tra cui il DPO)
  • Documentare le misure adottate (e tenerle sempre aggiornate)
  • Adeguare l’Infrastruttura
  • Formare il Personale
  • Informare l’Autorità, in caso di violazione dei dati

 

Categoria:

Descrizione

Il GDPR introduce il concetto di «Data Processor» separandolo dal «Data Controller» (ex Titolare del Trattamento). Un «controller» è l’entità che determina le finalità, le condizioni e i mezzi di elaborazione dei dati personali, mentre il «processor» è un’entità che elabora dati personali per conto del controllore. Il Data Processor è un ruolo ricoperto dalla maggior parte dei fornitori di Servizi Cloud. Se quindi la Direttiva UE finora in vigore poneva obblighi e sanzioni solo nei confronti del Titolare del trattamento dei dati personali (Data Controller), il GDPR impone invece anche ai Data processor, così come individuati dal titolare del Trattamento, di mettere in atto misure tecniche e organizzative per essere compliant al Regolamento stesso, in tutti i casi in cui affidi a terzi il trattamento dei dati personali.

L’obbiettivo della nuova regolamentazione è quello di assicurare che all’interno del processo di gestione e custodia dei dati personali del «Data Controller» siano incorporate adeguate misure di protezione dei dati «by default» and «by design».

Inoltre il GDPR sposta l’attenzione sul Continuous Risk Assessment per l’organizzazione che custodisce i dati – data controller – e richiede che qualunque organizzazione esterna che trattii dati – data processor – sia in linea con le regole del GDPR.

PUNTI CHIAVE DELLA NORMATIVA:

• Sanzioni fino a €20 mln o al 4% del fatturato worldwide. Esteso l’ambito territoriale, impatto anche per aziende extra UE. • Data Breach. Obbligo di comunicazione entro 72h (art. 29)

• Privacy By Design. Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento

• Codice Di Condotta. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato può essere utilizzata come elemento per dimostrare le garanzie sufficienti

GDPR: a chi si applica?

• L’applicazione del GDPR non dipende dalla dimensione dell’impresa ma dalle attività di trattamento effettuate.

• Attività che presentano alti rischi che possono impattare sulle liberta e diritti dei terzi, siano esse portate avanti da SME o grandi Società, comportano i processi e le previsioni del Regolamento

• Nel caso in cui i dati trattati avvengono su larga scala

DLGS 101/2018

• Emanato dal CDM il 04.08.2018, con entrata in vigore il 19.09.2018

• Non abroga il vecchio Codice bensì lo novella e lascia al Garante il compito non semplice di aiutare le PMI nella loro adozione con l’emanazione di apposite procedure semplificate

Il GDPR introduce quindi nuovi obblighi e sanzioni che impongono l’adozione di specifiche misure; in questo contest le Imprese hanno la necessità di indirizzare correttamente gli investimenti verso strumenti procedurali e informatici che siano realmente compliant con la nuova normative, come redigere una Data Protection Impact Assessment (DPIA) e un Audit sull’as is per affrontare una corretta gap analysis.


Best Seller