GDPR Privacy DPO

privacy gdpr DPO

GDPR Privacy – Cosa è e Perchè è Importante

Il Regolamento Generale sulla Protezione dei Dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.

GDPR Privacy DPO – in sintesi

Il Regolamento Europeo in materia di Protezione dei Dati Personali (GDPR) in vigore a aprile 2016 è diventato applicabile dal 25 maggio 2018.

Il Regolamento GDPR, molto lungo ed articolato può essere sintetizzato nei seguenti punti salienti:
  • Introduce il concetto di responsabilizzazione o accountability del titolare;
  • Introduce importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
  • Introduce concetti di “privacy by design e privacy by default”, approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • Introduce regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • Introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della Protezione dei Dati (RPD-DPO);
  • Introduce regole più chiare su informativa e consenso;
  • Amplia la categoria dei diritti che spettano all’interessato;
  • Stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue

GDPR Privacy DPO – a chi si applica

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

La Cedam srl, con i propri Consulenti, si occupa di Privacy sin dal 2003 anno di introduzione del D.Lgs. 196/2003, noto come Codice della Privacy.
In tutti questi anni la Cedam ha affiancato le Aziende del nostro territorio, garantendo un adeguamento alle prescrizioni dettate dalle normative vigenti, sia nazionali che europee, in materia di protezione dei dati personali delle persone fisiche.

Cosa devono fare le aziende per adeguarsi al GDPR Privacy

Approccio Pratico – la Metodologia in materia GDPR Privacy in 4 Fasi

Analisi e valutazione del rischio, Lista di azioni

Fase 1
Somministrazione questionario per esaminare lo stato della conformità alle norme privacy distinte per area funzionale.
Per ogni GAP, distinto per aree, determinazione delle azioni da adottare per la conformità comprese evoluzioni del sistema informatico e di sicurezza.

Implementazione del Sistema di Gestione Privacy ( SGP )

Fase 2

Implementazione del Sistema di Gestione Privacy attraverso la configurazione delle componenti quali registro trattamenti, identificazione degli asset, organigramma privacy, registro data breach, Privacy Protection Impact Assessment (DPIA) dei trattamenti che presentano un rischio elevato per le libertà e i diritti degli interessati.

Produzione (MOP) Manuale Operativo Privacy

Fase 3

Produzione di tutti i documenti previsti dal GDPR: Procedure Interne, Registro dei trattamenti, lettere di nomina responsabili esterni (terze parti), lettere agli autorizzati, incaricati al trattamento, procedure per l’esercizio dei diritti interessati, procedura con controlli Privacy by Design e by Default.

Supporto continuo post-adeguamento al fine di mantenere la compliance

Fase 4
L’adeguamento alla Privacy è un Processo Continuo e Collaborativo.
ll GDPR concepisce l’attività di gestione della privacy come un processo continuo e in continua evoluzione. Infatti la documentazione necessaria per l’applicazione del GDPR deve essere aggiornata per ogni novità inerente la privacy e richiede il coinvolgimento di tutte le funzioni aziendali direttamente coinvolte nei vari trattamenti di dati.

Perchè dovrei adeguarmi alla normativa GDPR PRIVACY

Sanzioni amministrative

Fino a 20 milioni di euro o 4% del fatturato  qualora i dati personali degli utenti vengano trattati in maniera illecita, non venga nominato il DPO , non venga comunicato un data breach all’Autorità garante e addirittura nei casi più gravi, come ad esempio l’inosservanza dei diritti degli interessati o il trasferimento illecito di dati personali ad altri Paesi.

Sanzioni penali

Per le sanzioni penali il Regolamento ha scelto di mantenere in vigore quanto stabilito dal Codice della Privacy, ed in particolare dagli articoli 167 e successivi (così come riformati dal d. lgs. n. 101/2018), che disciplina cinque differenti violazioni, punite con sanzioni penali che arrivano fino a sei anni di reclusione:
– acquisizione fraudolenta di dati personali 
– comunicazione e diffusione illecita di dati personali
– trattamento illecito dei dati.
– inosservanza dei provvedimenti del Garante.
– falsità nelle dichiarazioni al Garante

I controlli e le ispezioni

L’introduzione del GDPR ha rivoluzionato il sistema sanzionatorio in materia di privacy: mentre in passato si interveniva solo a posteriori, oggi la violazione si riscontra già nel momento in cui l’impresa non metta in atto le misure preventive utili a tutelare i cittadini.
– nomina del DPO, il responsabile della protezione dati;
controlli sulle misure previste in caso di data breach;
controlli sul registro dei trattamenti.

Le sanzioni sul GDPR ci sono e sono più frequenti di quello che si possa pensare…

qui sotto un piccolo elenco in sintesi di alcune delle sanzioni applicate da Garante della Privacy Italiano. I controlli sono serrati in tutta Italia e riguardano tutti i settori merceologici non escludendo quindi nessun tipo di azienda dalla grande Corporate alle PMI senza tralasciare gli enti pubblici e gli ospedali

Sanzioni GDPR in Italia - Aziende Corporate

Nazione

ITALY
ITALY

Importo Multa

27,800,000 €

Settore

Telecomunicazioni

Violazioni Riscontrate

Art. 5 GDPR, Art. 6 GDPR, Art. 17 GDPR, Art. 21 GDPR, Art. 32 GDPR

Motivazione

Insufficient legal basis for data processing

ITALY
ITALY

20,000,000

Riconoscimento Facciale

Art. 5 (1) a), b), e) GDPR, Art. 6 GDPR, Art. 9 GDPR, Art. 12 GDPR, Art. 13 GDPR, Art. 14 GDPR, Art. 15 GDPR, Art. 27 GDPR

Non-compliance with general data processing principles

ITALY
ITALY

12,251,601 €

Telecomunicazioni

Art. 5 (1), (2) GDPR, Art. 6 (1) GDPR, Art. 7 GDPR, Art. 15 (1) GDPR, Art. 16 GDPR, Art. 21 GDPR, Art. 24 GDPR, Art. 25 (1) GDPR, Art. 32 GDPR, Art. 33 GDPR

Non-compliance with general data processing principles

Sanzioni GDPR in Italia - Aziende PMI

Nazione

ITALY
ITALY

Importo Multa

2,500,000 €

Settore

Portale Web

Violazioni Riscontrate

Art. 5 (1) a), c), e) GDPR, Art. 13 GDPR, Art. 22 (3) GDPR, Art. 25 GDPR, Art. 30 (1) a), b), c), f), g) GDPR, Art. 32 GDPR, Art. 35 GDPR, Art. 37 (7) GDPR

Motivazione

Non-compliance with general data processing principles

ITALY
ITALY

200,000

Elettronica di Consumo

Art. 5 GDPR, Art. 6 GDPR, Art. 7 GDPR, Art. 28 GDPR, Art. 29 GDPR

Insufficient legal basis for data processing

ITALY
ITALY

60,000

Gestione Concorsi Pubblici

Art. 5 (1) a) GDPR, Art. 6 GDPR, Art. 9 GDPR, Art. 32 GDPR

Insufficient technical and organisational measures to ensure information security

GDPR Privacy DPO – Compliance 2022 / 2023

Seguire la normativa ed essere compliant nel 2022 / 2023 diventa così importante per ogni azienda. I vantaggi sono molteplici e sicuramente non riguardano soltanto l’aspetto economico. L’attenzione degli utenti verso la materia negli ultimi anni è nettamente aumentata mentre per ciò che riguarda il funzionamento interno all’azienda si punta sempre più a rendere solidi ed efficaci i processi aziendali volti al rispetto della legge.

Adeguarsi al GDPR può avere molti vantaggi per le aziende, tra cui:
✅ Miglioramento della reputazione
✅ Fiducia da parte dei Clienti
✅ Opportunità di business
✅ Miglioramento dei processi interni
✅ Competitività
✅ Flessibilità
✅ Trasparenza
✅ Controllo sui dati
✅ Riduzione dei rischi
NON Adeguarsi al GDPR può avere molti svantaggi per le aziende, tra cui:
❌ Complicazioni nella Gestione dei Dati
❌ Difficoltà di dimostrare la liceità dei dati
❌ Rischi di Sanzioni
❌ Maggiori Responsabilità del Titolare
❌ Difficoltà nel valutare la preparazione dei Consulenti
Privacy - GDPR compliance vantaggi

Ecco una lista di Servizi in Tema GDPR PRivacy DPO

Check Up Privacy

Check Up Privacy di Cedam srl predispone un modello e la modulistica necessaria per la specifica azienda/ente, per rispondere alle esigenze in materia di privacy.
Saranno individuate e corrette celermente le eventuali criticità tramite un check standardizzato, al quale seguono i seguenti servizi: 
1) servizio per gli adempimenti privacy
2) check up privacy standardizzato
1) Servizio per gli adempimenti privacy
Il servizio preventivo privacy fornisce all’azienda l’assistenza e la consulenza per renderla conforme alla normativa Privacy
Può essere richiesta dall’azienda anche l’attività di formazione in azienda del personale coinvolto nella gestione della privacy.
La formazione costituisce anche idonea misura organizzativa del modello privacy elaborato per renderla effettivamente applicata in modo efficace nel contesto aziendale.
2) Check up Privacy
Il servizio base di check up è diretto alle imprese che non hanno mai organizzato l’adeguamento alla normativa privacy, ha inizio con semplice sopralluogo in azienda o ocnfronto in call per la valutazione della situazione esistente ed un successivo report di individuazione delle criticità e degli eventuali interventi necessari per adeguare l’organizzazione alla normativa privacy
Il report viene consegnato indicativamente entro tre giorni lavorativi dal sopralluogo. Il servizio si richiede compilando la seguente scheda.

Realizzazione MOP (Manuale Operativo Privacy)

Acronimo di Modello Organizzativo Privacy”, MOP è indicato da alcuni come Manuale Operativo Privacy”. Si tratta di una raccolta di documenti che ha la finalità primaria di dare evidenza delle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati.
Non è possibile definire un indice “tipo” del MOP, ma ciò che interessa conoscere sono i contenuti di base, comuni alla maggior parte delle versioni dello stesso documento; i quali sono:
registro dei trattamenti;
analisi dei rischi e metodologia utilizzata per la valutazione dei rischi (DPIA);
l’elenco dei responsabili del trattamento e di eventuali contitolari;
misure di mitigazione poste in essere per limitare i rischi; quando tali misure hanno valenza di procedure queste sono riportate nel MOP o nei documenti ad esso correlati;
la documentazione relativa allo stato di presa in carico di alcuni adempimenti, come ad esempio il Provvedimento sugli amministratori di sistema o il Regolamento sulla videosorveglianza;
modelli di documenti (informativa per i vari tipi di interessati, atto di designazione ad autorizzato, atto di designazione a Responsabile da personalizzare, ecc.).
Considerati i contenuti del documento, è opportuno che alcune sue parti abbiano accesso riservato, in particolare l’analisi dei rischi e le misure poste in essere.

Realizzazione di Privacy Policy Aziendali

La privacy policy aziendale è un documento che riporta tutte le disposizioni in merito all’utilizzo e al trattamento dei dati personali interni all’azienda da parte di dipendenti e altri soggetti appartenenti all’apparato aziendale. In sostanza, in questo documento ufficiale l’azienda stabilisce chiaramente per iscritto quanti, quali e in che modo i dati personali possono essere utilizzati. 
Dopo l’entrata in vigore del GDPR questo strumento ha assunto una notevole importanza. E’ indispensabile per l’azienda prevenire gravi casi di violazione privacy ed è tenuta a mettere a disposizione dei dipendenti le informazioni relative i nuovi obblighi da osservare, anche affinchè l’azienda non incorra in sanzioni.
Prima di definire la giusta privacy policy aziendale, è opportuno che l’azienda identifichi tutti i dispositivi (personali e aziendali) attraverso cui potrebbero attivarsi degli utilizzi illeciti dei dati.
Lo svolgimento della quotidiana attività lavorativa consente ai dipendenti e ai collaboratori, infatti, un utilizzo rilevante dei dati aziendali che avviene tramite svariati dispositivi.  
Anche le dimensioni dell’azienda (grande o piccola) cambiano le necessità. 
In ogni caso, comunque, si presenta un obbligo di informazione nei confronti di tutti i soggetti aziendali.  Le disposizioni della nuova privacy policy aziendale devono essere comunicate nelle modalità prescelte dallazienda, a patto che siano le più chiare possibili. Tutti i dipendenti dovranno essere informati in merito a questo importante documento, che dovrà essere letto, accettato e sottoscritto.

Consulenza Privacy

La consulenza del nostro team specializzato in PRIVACY POLICY riguarda tutti gli aspetti connessi alle leggi sulla protezione dei dati , siano esse europee o Italiane, tra cui:
    • Informative a dipendenti, clienti o utenti
    • Nomine di soggetti che trattano dati in nome e per conto della società
    • Definizione di ruoli e responsabilità
    • Registri dei trattamenti
    • Rispetto della protezione dei dati ed analisi misure di sicurezza adeguate
    • Sicurezza dei dati e notifiche e comunicazione di violazione dei dati (Data Breach)
    • Valutazione di impatto sulla protezione dei dati (DPIA)
    • Trasferimenti di dati extra UE | contrattualistica
    • Siti web e cookies policy
    • Regolamentazione degli strumenti idonei al controllo dei dipendenti
    • Verifica contratti di cloud computing
    • Politica di conservazione dati
    • Redazione di procedure idonee al trattamento dati
    • Predisposizioni di flussi informativi fra Titolare | Responsabile e DPO
    • Corsi di formazione sul corretto trattamento dati personali
    • Coordinamento delle informazioni e rapporti con il servizio di Data Protection Officer (DPO)
Con l’avvento del Regolamento sulla Protezione dei dati | Reg. (UE) 2016/679 le aziende devono affrontare il tema della “compliance” privacy
Il mercato di riferimento per la Protezione dei Dati e della Privacy è non solo l’Italia, ma riguarda tutti gli Stati dell’Unione Europea in cui operano le aziende stesse.
I dati personali e le informazioni confidenziali sui dati aziendali sono un asset fondamentale per qualsiasi tipo di attività, in particolare con lo sviluppo sempre più diffuso del trattamento dati automatizzato, che avviene tramite gli stessi strumenti che la Cedam srl progetta e implementa , attraverso la sua offerta ITC e Web per le imprese e i professionisti. 
Conoscere e farsi assistere da esperti per rispondere nel migliore dei modi agli obblighi della nuova legge in materia di Privacy significa da parte di Titolari e Responsabili del trattamento, rivedere ed aggiornare continuamente tutta la parte documentale presente in azienda, oltre ad applicare le adeguate misure di sicurezza, sia tecnologiche che organizzative e a provarne la loro efficacia periodicamente ( “accountability” per il legislatore è soprattutto questo).

DPO Privacy

DPO è l’acronimo di Data Protection Officer, ovvero il Responsabile della Protezione dei Dati Personali (RPD), si tratta di un soggetto che deve fornire assistenza e consulenza al titolare del trattamento per il rispetto della normativa di riferimento.
I professionisti di Cedam srl sono DPO iscritti ad ASSO DPO, a FederPrivacy e ad APCO (Associazione Professionale Consulenti Management) e possiedono, tutte le competenze necessarie a fornire le giuste risposte per ogni esigenza aziendale.
La Cedam srl attualmente si propone alle Aziende con i suoi consulenti per seguire i seguenti incarichi:
RPD – DPO – Responsabile della Protezione dei Dati Personali
Consulente Privacy
Cedam srl collabora proattivamente con il management aziendale definendo mezzi e misure per la migliore gestione dei dati personali, in conformità ai dettami del Codice della Privacy ed al GDPR. Allo stesso tempo, si preoccupa di mantenere inalterati quei requisiti di autonomia ed indipendenza che costituiscono garanzia di qualità del servizio prestato.
I professionisti DPO che collaborano con Cedam srl ne condividono valori e obiettivi, collocando al primo posto le esigenze dell’Organizzazione e contemperando attentamente il costo del servizio all’attività che dovrà svolgersi per la specifica impresa.

Formazione Privacy

L’importanza della Formazione Privacy è una conseguenza degli obblighi del Regolamento UE n.679/2016 (GDPR). In particolare, si tratta di una misura di sicurezza obbligatoria per tuttiquindi non solo per figure specializzate come il Data Protection Officer (DPO).
La mancata formazione privacy è considerata una violazione di legge ed è soggetta al pagamento di una sanzione amministrativa sino a 20.000.000 di euro o al 4% del fatturato di gruppo.
Ci teniamo a precisare che la formazione non deve essere considerata come un mero adempimento burocratico, bensì un’opportunità per le aziende di rendere consapevoli i propri operatori dei rischi connessi al trattamento dei dati e delle misure di sicurezza. 
Tale formazione consentirà benefici tangibili, nel momento in cui si compre il valore dei dati e della informazioni aziendali e della consapevolezza del personale nella tutela degli stessi. 
Non si tratta quindi solo di evitare rischi di salate sanzioni amministrative, ma anche di migliorare effettivamente l’operabilità di una azienda, e -aspetto da non sottovalutare – la reputazione di un’azienda, la sua immagine infatti sarà notevolmente influenzata in positivo dalla preparazione in materia privacy.
Chiaramente a beneficiare della Formazione in primis è l’organizzazione dei processi interni e l’erogazione dei servizi.
Il GDPR pone infatti l’accento sulla responsabilizzazione accountability del titolare del trattamento, cioè il titolare dell’azienda. Questo concetto si riconduce da principio all’adozione di comportamenti che dimostrino la consapevolezza dell’importanza delle misure di protezione dei dati personali e aziendali. Si tratta di un vero e proprio supporto all’operatività e all’organizzazione di una impresa e dei suoi valori, innescando comportamenti responsabili, degni di fiducia.

Link e Risorse Utili – GDPR Privacy DPO

?  <— Garante Italiano
?  <— Sito Sanzioni dei Garanti Europei


?  <— Comitato Europeo per la Protezione dei Dati
(EDPB)
?  <— Gruppo Articolo 29 (archivio)   

?  <— ASSODPO – Associazione Data Protection Officer   
?  <— FederPrivacy   – Associazione Privacy Officer      
Privacy Gdrp DPO - contatti

Hai Bisogno di Aiuto sul tema Privacy e DPO ?

    Leggi Informativa del Form Contatti