GDPR E DATA PROTECTION OFFICER (DPO)
Proteggiti da sanzioni che possono raggiungere i venti milioni di euro o persino il 4% del fatturato mondiale annuo
Sulla base di un’esperienza pluriennale, abbiamo sviluppato una gamma completa di servizi privacy e in tema cybersecurity, progettati per soddisfare le esigenze di enti pubblici e privati di qualsiasi dimensione: liberi professionisti, ditte individuali, PMI e multinazionali.
Il nostro metodo si basa su una combinazione di conoscenza approfondita della normativa in materia di protezione dei dati personali e di sicurezza informatica e una solida comprensione delle best practice del settore. Seguiamo sempre un approccio pratico e multidisciplinare, adattato alle specifiche esigenze della realtà che stiamo supportando.
Grazie al nostro aiuto, i nostri clienti non solo si sono adeguati alla normativa sulla privacy, proteggendosi da potenziali sanzioni e rischi legali, e hanno diminuito la probabilità di subire delle conseguenze negative a seguito di eventuali attacchi informatici, ma hanno anche aumentato la fiducia e la fidelizzazione dei loro stakeholder.
Scopri tutti i nostri servizi
ADEGUAMENTO GDPR
Circa l’adeguamento alla normativa in materia di protezione dei dati personali, specialmente per le organizzazioni più strutturate, proponiamo sempre un piano concordato di interventi per processi. L’attenzione è rivolta, secondo un ordine di priorità dettato dal livello di rischio privacy, alle principali funzioni e ai dipartimenti fondamentali dell’organizzazione, tra cui: l’amministrazione, il commerciale e il marketing, la gestione delle risorse umane, le operation, l’IT e le altre aree o attività critiche (es. whistleblowing).
Il piano di intervento vuole essere non solo una lista di azioni da intraprendere, ma anche un vero e proprio percorso strategico che coinvolge attivamente tutte le risorse dell’organizzazione. In questo modo, può essere garantita sia l’implementazione efficace delle misure stabilite, sia la promozione di una cultura orientata alla sicurezza dei dati e alla conformità normativa.
AUDIT DI CONFORMITÀ GDPR
Attraverso un’analisi accurata e dettagliata delle attività di trattamento, forniamo un quadro completo e oggettivo circa il rispetto della normativa privacy. Solitamente, la conduzione dell’audit di conformità è la prima fase del percorso di adeguamento al Regolamento Generale sulla Protezione dei Dati Personali, Reg. UE 2016/679 (GDPR) e al Codice privacy, D. Lgs. 196/2003, e alle altre normative specifiche.
Questa fase costituisce un pilastro cruciale perché consente di capire quanti sono e come vengono trattati i dati personali all’interno dell’organizzazione, nonché di identificare le vulnerabilità presenti nel sistema e valutare le possibili soluzioni o contromisure da adottare.
DOCUMENTAZIONE PRIVACY
Attraverso la nostra consulenza specialistica in materia di protezione dei dati personali, l’organizzazione sarà dotata di tutti i documenti indispensabili richiesti dalla normativa privacy, integrati agli eventuali già presenti modelli organizzativi o sistemi di gestione.
Un documento che contiene un elenco di sintesi di tutti i trattamenti di dati personali (e relative caratteristiche) effettuati dall'organizzazione sia nel ruolo di titolare del trattamento, che in quello di responsabile del trattamento, e delle misure di sicurezza in essere
Un documento grazie al quale vengono individuati i soggetti chiave in materia di protezione dei dati personali e le relative responsabilità
Valutazione d'Impatto della Protezione dei Dati (DPIA): una eventuale valutazione dei rischi per la privacy derivanti da specifici trattamenti di dati personali
Dei documenti informativi rivolti agli interessati, ove sono chiariti quali sono i loro diritti e quali sono le caratteristiche dei trattamenti compiuti sui loro dati personali. Questi documenti sono suddivisi per categorie di interessati: informativa clienti, informativa visitatori, informativa sito web e cookie policy, informativa fornitori, informativa dipendenti, informativa collaboratori e così via
Documenti utilizzati per ottenere, se necessario, il consenso delle persone per il trattamento dei loro dati personali e varie diciture legali da inserire nella documentazione dell'organizzazione, nelle comunicazioni della stessa, inclusa la calce delle mail nonché al di sotto dei form di contatto o altre parte del sito web e delle piattaforme digitali
Da un lato si hanno le cd. nomine dei responsabili, che regolano la relazione tra l'organizzazione e i responsabili del trattamento, si pensi ai fornitori, principalmente di servizi (es. commercialista, consulente del lavoro, ecc.). Dall'altro lato si hanno le autorizzazioni e istruzioni al trattamento dei dati personali, ossia dei documenti attraverso i quali le risorse interne all’organizzazione vengono autorizzate e ricevono specifiche istruzioni circa il trattamento dei dati
Procedure per la gestione di particolari operazioni di trattamento e di alcune tipiche situazioni critiche: documenti che stabiliscono quali sono i passaggi da seguire in determinati casi nonché le operazioni da eseguire, ad esempio, se si riceve una richiesta di esercizio dei diritti o nel caso in cui dovesse verificarsi una violazione dei dati personali
LE NOSTRE TIPOLOGIE DI ADEGUAMENTO GDPR*
* Ogni tipologia assicura il pieno rispetto della normativa in materia di protezione dei dati personali
FORMAZIONE PRIVACY
La nostra proposta formativa prevede sessioni sia in presenza presso la sede dell’Organizzazione, che online. I corsi sono tanto teorici quanto pratici, secondo il modello del training on the job, e permetteranno ai partecipanti di acquisire competenze direttamente sul campo. Questo approccio consente una maggiore efficacia nell’apprendimento, con l’opportunità di applicare quanto appreso sin da subito nella realtà lavorativa quotidiana.
Proponiamo programmi di formazione su misura, adattati alle singole esigenze dell’organizzazione e alle mansioni specifiche di ciascun dipendente.
La nostra offerta formativa consente il rispetto degli obblighi di formazione previsti dal GDPR e contribuisce a creare una cultura improntata alla privacy e alla sicurezza dei dati, garantendo la consapevolezza per tali tematiche e il rispetto delle normative da parte di tutti i collaboratori.
ADEGUAMENTO GDPR - SITO WEB E COOKIE
La privacy è un aspetto cruciale per tutti coloro che raccolgono dati personali attraverso il proprio sito web o altre piattaforme digitali (come applicazioni, social network, ecc.).
Forniamo una consulenza chiara, approfondita e completa sull’adeguamento di siti web, e-commerce, web app e mobile app e in generale della presenza online dell’organizzazione che include:
- un’analisi di conformità iniziale del sito web e dell’applicativo alla luce degli obblighi normativi previsti;
- un’analisi tecnica dei cookie implementati;
- l’adattamento alle migliori pratiche del settore ai sensi dei provvedimenti e delle determinazioni delle autorità competenti;
- la redazione delle obbligatorie informative privacy e cookie policy nonché di termini d’uso e condizioni di vendita nel caso di e-commerce, di condizioni di licenza in caso di applicativi e altri documenti legali specifici;
- valutazione generale della presenza online dell’organizzazione, proponendo, se necessario, l’adozione di specifiche policy, tra le quali la social media policy, e di regolamenti ad hoc.
ADEGUAMENTO GDPR - VIDEOSORVEGLIANZA
Diamo un supporto specialistico a coloro che hanno installato o vogliono installare un sistema di videosorveglianza o altri sistemi di controllo (es. GPS, controllo delle presenze, controllo degli accessi, ecc.), inclusi gli operatori tecnici del settore, per l’adeguamento degli impianti di videosorveglianza e altri sistemi al GDPR e alle altre normative cogenti (es. Statuto dei Lavoratori).
La nostra assistenza include:
- nel caso in cui il sistema venga installato in ambienti lavorativi, la presentazione dalle richiesta di autorizzazione all’Ispettorato del lavoro, con annessa documentazione (es. relazione tecnica), o il supporto per accordi sindacali;
- nel caso in cui il sistema (di videosorveglianza) venga installato all’interno di un condominio, l’aiuto per la redazione della documentazione da presentare in assemblea per il dovuto ottenimento della delibera di approvazione;
- la scrittura di informative di primo livello (cartelli GPDR) e di secondo livello (privacy policy) e le relative indicazioni circa la loro corretta messa a disposizione;
- l’integrazione del registro dei trattamenti;
- la Valutazione d’Impatto della Protezione dei Dati (DPIA) per garantire una corretta gestione dei dati raccolti;
- la nomina dei soggetti autorizzati e responsabili del trattamento;
- la predisposizione del registro degli accessi alle immagini.
DATA PROTECTION OFFICER (DPO)
Assumiamo l’incarico di Data Protection Officer (DPO), detto anche Responsabile della Protezione dei Dati (RPD), all’interno sia delle organizzazioni che sono obbligate alla designazione di questa figura, che di quelle che volontariamente decidono di procedere alla nomina.
Nello svolgimento dell’incarico assicuriamo una vigilanza costante circa la gestione efficace e conforme dei dati personali, la promozione di una cultura della privacy e della sicurezza dei dati, e il nostro supporto nella gestione delle questioni privacy, tra cui le richieste degli interessati e le violazioni dei dati personali (data breach). Inoltre, fungiamo da punto di contatto con l’autorità di controllo, il Garante per la protezione dei dati personali.
FAQ
Sì, anche liberi professionisti e ditte individuali devono adeguarsi al GDPR. La normativa si applica, salvo casi molto particolari, a chiunque tratti dati personali, indipendentemente dalle dimensioni dell’attività. Gli obblighi principali includono l’aggiornamento dell’informativa privacy, la tenuta del registro dei trattamenti, l’implementazione di misure di sicurezza adeguate e la raccolta di consensi conformi al GDPR.
L’adeguamento al GDPR non è solo un obbligo legale, ma un’opportunità per migliorare la vostra attività. I vantaggi sono molteplici e significativi. Innanzitutto, vi permette di evitare pesanti sanzioni che potrebbero mettere a rischio la vostra attività. Inoltre, migliora notevolmente la vostra reputazione aziendale, dimostrando ai clienti e ai partner la vostra serietà nella gestione dei loro dati. Questo si traduce in un aumento della fiducia e della fidelizzazione. L’adeguamento porta anche a un’ottimizzazione nella gestione dei dati, rendendovi più efficienti e riducendo i rischi di data breach. Con la nostra consulenza esperta, potrete trasformare questo obbligo normativo in un vero e proprio vantaggio competitivo.
Il tempo necessario per l’adeguamento al GDPR può variare considerevolmente, ma generalmente si aggira tra uno e tre mesi. Questa variabilità dipende da diversi fattori, come le dimensioni e la complessità della vostra organizzazione, la quantità e la tipologia di dati personali che trattate, e il vostro attuale livello di conformità alla normativa privacy. Contattateci per una valutazione iniziale e potremo fornirvi una timeline personalizzata per il vostro specifico progetto di adeguamento GDPR.
Il costo per l’adeguamento al GDPR è un investimento che varia di molto, da un minimo di qualche centinaia di euro, in base a diversi fattori. Non esiste un prezzo fisso, poiché ogni situazione è unica. Le variabili principali includono le dimensioni della vostra azienda, la complessità dei trattamenti dati che effettuate e il vostro attuale livello di conformità alla normativa privacy. Tuttavia, è importante considerare questo non come una spesa, ma come un investimento essenziale per la tutela legale e reputazionale della vostra attività. L’adeguamento al GDPR vi protegge da potenziali sanzioni e danni d’immagine che potrebbero essere molto più costosi.
Come per l’adeguamento completo al GDPR anche l’adeguamento di un sito web è molto variabile in base alla complessità del sito (si pensi a un E-commerce o una Web Application). In linea generale si attesta intorno a qualche decina di euro per i siti più semplici e lineari (es. meri siti vetrina one page e privi di cookie e form di contatto).
L’adeguamento al GDPR non è un’azione una tantum, ma un processo continuo. Dopo l’adeguamento iniziale, è fondamentale mantenere un approccio proattivo per garantire una conformità duratura. Questo include l’aggiornamento regolare della vostra documentazione privacy per riflettere eventuali cambiamenti nelle vostre pratiche di trattamento dati. La formazione continua del personale è cruciale per mantenere alta la consapevolezza sulle questioni di privacy. È importante anche monitorare e valutare costantemente i rischi privacy, effettuando audit periodici per identificare e correggere eventuali non conformità. Infine, le misure di sicurezza devono essere costantemente adeguate all’evoluzione tecnologica e alle nuove minacce.
Queste attività dovranno essere svolte, quanto presente, sotto la vigilanza attenta di un DPO.
La nomina di un Data Protection Officer (DPO) è un aspetto cruciale del GDPR, ma non è sempre obbligatoria. La necessità di un DPO dipende dalla natura e dalla scala delle vostre attività di trattamento dati. È obbligatorio per le autorità o gli organismi pubblici, indipendentemente dai dati che trattano. Nel settore privato, la nomina è richiesta per le aziende che effettuano un monitoraggio regolare e sistematico degli individui su larga scala, o che trattano dati sensibili (es. dati sanitari) o relativi a condanne penali su larga scala. La definizione di “larga scala” può variare, e la nostra consulenza può aiutarvi a determinare se la vostra organizzazione rientra in questi criteri.
Il cookie banner è diventato un elemento familiare nei siti web, ma la sua implementazione corretta è fondamentale per la conformità al GDPR. È necessario se il vostro sito utilizza cookie non essenziali, come quelli per il marketing o l’analisi del traffico. In massima sintesi, un banner efficace deve essere chiaro e facilmente comprensibile, offrendo agli utenti una scelta reale e granulare sui cookie che accettano. Deve permettere di rifiutare facilmente tutti i cookie non essenziali e offrire un modo semplice per modificare le preferenze in seguito.
Le privacy policy generate automaticamente da strumenti come Iubenda, CookieYes o CookieBot possono sembrare una soluzione rapida ed economica, ma presentano alcune limitazioni significative. Mentre possono fornire una base di partenza, spesso mancano della personalizzazione necessaria per riflettere accuratamente le specifiche pratiche di trattamento dati della vostra organizzazione. Potrebbero non coprire tutti gli aspetti unici del vostro business o potrebbero includere sezioni non pertinenti, creando confusione. Inoltre, c’è il rischio che non siano completamente conformi alle ultime interpretazioni del GDPR o a quelle del Garante privacy italiano, esponendo gli utilizzatori a importanti sanzioni.
L’uso della videosorveglianza sul posto di lavoro è un tema delicato che richiede un attento equilibrio tra le esigenze di sicurezza dell’azienda o altre finalità individuate e i diritti alla privacy dei lavoratori. La normativa in questo ambito è molto stringente. In generale, è vietato il controllo a distanza dell’attività lavorativa. L’installazione di sistemi di video-sorveglianza richiede un accordo sindacale o, in sua assenza, l’autorizzazione dell’Ispettorato del Lavoro nonché la redazione della documentazione privacy e GDPR.
Prima di installare un sistema di videosorveglianza, è essenziale seguire una serie di passi per garantire la piena conformità legale. In linea di massima, è necessario:
- effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per identificare e mitigare i rischi per la privacy
- ottenere le necessarie autorizzazioni, che possono includere accordi sindacali o l’approvazione dell’Ispettorato del Lavoro
- predisporre un’informativa dettagliata che spieghi chiaramente la presenza, le finalità e le modalità di utilizzo delle telecamere
- definire politiche rigorose per l’accesso e la conservazione dei dati registrati
- formare adeguatamente il personale addetto alla gestione del sistema.
L’utilizzo di sistemi GPS nei mezzi aziendali non è vietato, ma è soggetto a regolamentazioni specifiche per proteggere la privacy dei dipendenti. Come per la videosorveglianza, l’installazione di dispositivi GPS richiede un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro. È fondamentale informare chiaramente i dipendenti sulla presenza e sulle finalità del sistema GPS. Un punto cruciale è che il monitoraggio continuo della posizione del lavoratore è generalmente vietato, a meno che non sia strettamente necessario per motivi di sicurezza o per la natura specifica del lavoro. I dati di geolocalizzazione devono essere conservati solo per il tempo strettamente necessario alle finalità per cui sono stati raccolti. L’implementazione di un sistema GPS conforme richiede un attento bilanciamento tra le esigenze aziendali, come l’ottimizzazione dei percorsi o la sicurezza dei veicoli, e il rispetto della privacy dei lavoratori.