Il trattamento dei dati personali

GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha cambiato totalmente il modo in cui va gestito il trattamento dei dati personali per aziende e professionisti. Abituati alla vecchia gestione della “privacy” spesso si pensa che basti aggiornare l’informativa sul sito web rispettare la nuova normativa. In realtà il GDPR ha portato una metodologia di organizzazione del trattamento dei dati personali che può diventare uno strumento di crescita aziendale.
  • Entrata in vigore
    25 maggio 2018
  • Chi riguarda
    Chi tratta dati personali
  • Tutti?
    Sì, Aziende e professionisti
  • Io non li tratto
    Sicuro?
  • Cosa si rischia
    Multe calcolate sul fatturato
  • Altro?
    Sì, il blocco del trattamento
In dettaglio

Quali sono gli aspetti più importanti e come adeguarsi alla nuova normativa

  • Dai dati ai trattamenti

    Il GDPR spinge a focalizzare l’attenzione non solo al dato, ma anche al particolare trattamento effettuato. Quando un dato viene raccolto, archiviato, modificato o, addirittura, cancellato si sta effettuando un trattamento ed è necessario descrivere la tipologia di dati, se sono presenti dati di natura particolare, chi sono le categorie interessate, le motivazioni (le basi giuridiche) perché si sta trattando quel dato al fine di avere una fotografia completa di come i dati vengono gestiti nel proprio flusso di lavoro.

  • Le informative

    Non più la singola informativa sul sito web, ma informative diverse per ogni categoria di interessati in base ai diversi trattamenti. Le aziende (o i professionisti) trattano dati personali quando hanno dipendenti, quando hanno clienti (o potenziali clienti), quando fanno colloqui di lavoro, quando acquistano merci o servizi. Nessuno può dire di non trattare dati personali ed è bene imparare anche a pretendere l’informativa sull’uso dei nostri dati, quando non rappresentiamo l’azienda in cui lavoriamo, ma siamo a nostra volta i soggetti interessati in qualità di clienti o consumatori (cioè la maggior parte delle volte).

  • Il registro dei trattamenti

    Ma le informative non sono tutto, occorre poi riepilogare l’uso che se ne fa, gli archivi coinvolti, le misure di sicurezza adottate. Inoltre tante realtà aziendali trattano dati non solo per se stessi, ma anche conto terzi, ed ecco la necessità di avere anche il registro trattamenti conto terzi. I due registri sono la prima cosa che chiede l’autorità in caso di controllo. E per essere soggetti all’obbligo di tenuta del registro, basta avere anche un solo dipendente, quindi un’organizzazione aziendale estremamente semplice. Capito perché non basta copiare l’informativa sul sito web del sito del concorrente?

  • Il Data Breach

    E cosa succede se i dati li perdiamo o ci vengono sottratti? Di quei dati abbiamo la totale responsabilità e in caso di eventi piò o meno criminali che mettono a rischio la sicurezza delle persone fisiche che ci hanno affidati i loro dati, siamo obbligati a comunicare nelle maniere previste tali eventi. Con un notevole danno di reputazione, che potrebbe anche precludere la prosecuzione dell’attività. Un motivo in più per dotarsi di strumenti efficaci che possano metterci al riparo da tali eventi.

Ma anche io tratto dati personali?

Tutti trattano dati personali, vediamo in dettaglio.

Videocamere

Videocamere

All’entrata della sede aziendale sono state installate delle videocamere di sicurezza? Ormai lo diamo per scontato, ma ogni sistema di videosorveglianza deve avere la propria informativa e devono essere ben descritte le modalità di conservazione, accesso ed utilizzo dei dati.

Dipendenti

Dipendenti

Ogni azienda tratta i dati (anche di natura particolare) dei propri dipendenti

Smartphone e Tablet

Smartphone e Tablet

Smartphone e Tablet, sia di proprietà del dipendente che forniti dall’azienda, possono contenere dati personali e sono utilizzati in mobilità. Vanno gestiti nella maniera corretta.

Archivi cartacei

Ancora la “carta” fa parte di tante procedure di lavoro aziendali. Occorre essere sicuri di gestirla nella maniera corretta.

Cancellazione e distruzione dei dati

Salviamo dati personali nei posti più impensabili e non facciamo attenzione a cosa accade quando ce ne liberiamo. Anche la distruzione è un trattamento e va gestita nella maniera corretta.

Come lavoriamo

Il nostro metodo di consulenza, per mettersi in regola senza errori.

  • Incontro preliminare

    Iniziamo esaminando la realtà aziendale del cliente e cercando di definire con chiarezza i tempi e i costi per ottenere il risultato finale. Anche se operiamo a distanza, cerchiamo sempre di parlare con i nostri clienti, trasmettere il giusto messaggio (non ci interessa “spaventare” con le multe previste per chi non è in regola), comunicare che l’adeguamento alla normativa è un’occasione importante per la crescita aziendale.

  • Analisi di tutti i trattamenti

    Analizziamo in dettagli i processi lavorativi e definiamo tutte i trattamenti esistenti nell’azienda. Per ottenere un risultato preciso e conforme alla realtà abbiamo bisogno di interagire con personale interno che abbia visibilità e conoscenza su tutte le procedure di lavoro aziendali. Usiamo la nostra esperienza per evidenziare trattamenti che probabilmente sono in uso, ma che inizialmente non sono stati elencati, perché di raro utilizzo o poco comuni.

  • Censimento degli addetti, delle sedi e degli archivi

    Punto importante dell’attività consiste nello stilare l’elenco completo di tutte le persone coinvolte, siano essi dipendenti, collaboratori o società esterne a cui vengono affidati i dati. E poi le sedi e gli archivi (cartacei o digitali) dove vengono effettuati i trattamenti. Questa visione di insieme, che entra nel dettaglio fino al singolo operatore o al singolo strumento utilizzato, consente di coprire la totalità dei dati trattati, senza lasciare nulla al caso.

  • Misure di sicurezza

    Il GDPR pone molta attenzione su quelle che dovono essere le misure di sicurezza per garantire il corretto trattamento dei dati personali. Anche quando vengono richiesti dei docuemnti specifici, come la Valutazione di Impatto (DPIA) o le procedure necessarie a gestire i Data Breach, questi devono essere degli strumenti proattivi, che consentano di analizzare e dimostrare l’effettiva correttezza delle procedure adottate. Con la nostra profonda esperienza nella sicurezza informatica, possiamo analizzare in dettaglio la situazione attuale e proporre gli eventuali miglioramenti necessari.

  • Formazione

    Finito tutto il lavoro, sarebbe tutto inutile se non ci si preoccupasse di formare adeguatamente tutte le persone coinvolte. Organizziamo corsi specifici per figure centrali come il DPO o il Referente Privacy, come anche corsi più pratici e operativi per tutti gli incericati. Il Titolare del Trattamento, oltre tutti gli altri adempimenti, deve dimostrare di aver adeguatamente formato tutte le figure che dipendono dalle sue decisioni. Senza dimenticare tutti i Responsabili Esterni, che devono ricevere le corrette istruzioni per i trattamenti. E la formazione non va fatta solo una volta, ma deve essere continua nel tempo, per consentire l’aggiormanento in una disciplina, come la protezione dei dati personali, che assume sempre maggiore importanza e si evolve costantemente.

Cosa possiamo fare per te

Se vuoi saperne di più contattaci e potremo analizzare la tua realtà aziendale

Clicca sul bottone contattaci, compila il form con le informazioni richieste e ti risponderemo quanto prima, per analizzare la tua situazione e trovare la maniera migliore per l’adeguamento alla normativa.
Contattaci
Soluzioni efficaci per problemi complessi

Azienda

GDPR

Contattaci

info@galeola.it
06 888 12 426

© Galeola S.r.l. - PIVA: IT08499801002