Sistema gestione Privacy (GDPR)

Le procedure e la formazione hanno un ruolo cruciale nel complesso ambito della privacy.

Il GDPR Europeo (conosciuto anche come Regolamento generale sulla protezione dei dati personali) è un documento emanato a livello Europeo, disciplina quindi in modo uguale, per ogni Stato membro dell’Unione Europea, le modalità di trattamento e gestione dei dati personali.

Questo Regolamento ha quindi uniformato gli obblighi su tutto il territorio europeo, in capo al Titolare del Trattamento e alle figure da lui dipendenti, e i diritti degli interessati al trattamento.

Il nuovo Regolamento Europeo sulla Protezione dei Dati ha finalmente colmato le differenze di opportunità tra i diversi Stati; prima della sua entrata in vigore erano presenti differenze derivanti dalle opportunità o dalle restrizioni che le Leggi di ogni singolo stato membro potevano determinare.

Il GDPR è quindi una prima e vera conquista in termini di pari opportunità all’interno dell’intero territorio europeo, per quanto riguarda le possibilità, per tutti uguali, di trattamento dei dati personali e i vantaggi che ne possono derivare.

L’adeguamento al regolamento europeo sul sistema di gestione privacy deve essere visto come un obiettivo e non come un mero obbligo; la cultura in merito alla protezione dei dati sta prendendo sempre più piede, dimostrare ai propri clienti di trattare in modo “compliance” i loro dati significa dare dimostrazione del fatto che si sta rispettando la loro persona e la loro organizzazione.

Chi vorrebbe dare una cosa propria in mano a un’organizzazione che non la rispetta? Nel prossimo futuro non dovrà stupirci se alcune organizzazioni perderanno clienti per la loro poca considerazione e per il poco rispetto che hanno nei confronti dei dati che trattano o per la loro incapacità a tutelarli. Chi non rispetta i nostri dati, non rispetta la nostra persona.

I dati dei propri clienti devono essere considerati dei veri e propri asset, temporeggiare nell’adeguarsi alle leggi in materia di privacy e di tutela dei dati personali relativi ai proprio partner, significa: tessere la tela che prima o poi intrappolerà la propria organizzazione, oltre che essere irrispettosi; non preoccuparti, non è troppo tardi, ti aiuteremo a compiere i giusti passi.

Per fortuna esistono organizzazioni come noi, il cui compito è quello di tutelare i dati che vengono trattati presso le loro aziende clienti; la materia è molto delicata e le possibilità di errore sono dietro l’angolo, affidarsi a veri professionisti è l’unica strada percorribile, GDM rappresenta la scelta giusta, infatti annoveriamo all’interno del nostro staff figure professionali esperte nell’ambito della privacy, le quali si occupano di analizzare e ottimizzare i flussi di trattamento dei dati, a protezione degli asset aziendali.

Presso di noi sono inoltre presenti professionisti che si occupano di predisporre la documentazione necessaria alla compliance, oltre che a formare il personale delle aziende che hanno l’incarico di trattare i dati sensibili.

I percorsi didattici e formativi che vengono proposti possono essere anche personalizzati su richiesta, in base alle differenti tipologie di aziende e all’importanza strategica dei dati che vengono trattati.

Quali sono i vantaggi che risiedono nella scelta di un partner affidabile come GDM in un contesto come quello della privacy?

Il contesto della privacy e del trattamento dei dati sensibili, vista l’importanza della tematica, è in costante evoluzione.

Occorre essere costantemente aggiornati in materia, visto che i cambiamenti sono piuttosto repentini.

Mediante il percorso di consulenza e formazione effettuato dalle nostre figure esperte in materia di protezione dei dati, i vertici aziendali ottemperano all’obbligo formativo stabilito dal GDPR Europeo.

Inoltre, da diversi anni, GDM propone un’offerta formativa mirata, basata su corsi specifici che hanno come target di riferimento sia i Titolari e Responsabili del Trattamento che i liberi professionisti e, in generale, tutte le parti interessate ad acquisire la certificazione di DPO (Data Protection Officer).

Questa figura è anche nota come RDP (Responsabile del Trattamento).

La formazione è la protagonista, per assicurare la sicurezza e la salvaguardia dei dati sensibili in qualsiasi realtà imprenditoriale.

Oltre a costituire il metodo base che consente al Titolare del Trattamento di essere perfettamente a norma in materia, in quanto ha ottemperato ai relativi obblighi.

Chi frequenta i percorsi didattici e formativi, sviluppati dagli esperti in materia di gestione e controllo della privacy di GDM, acquisisce competenze certificate nei seguenti aspetti:

Indice dei Contenuti:

• • Tipologie di Trattamento dei dati personali
• • Figure professionali previste all’interno del GDPR
• • Altre competenze in ambito Sistema Gestione Privacy
• • Come viene erogata l’offerta formativa in GDM?
• • Consulenza e predisposizione documentale
• • Le figure “principali” nel sistema Privacy, chi sono e cosa fanno nella pratica?
• • Chi deve adeguarsi al Regolamento Europeo per il trattamento dei dati?
• • Perché scegliere GDM

Tipologie di Trattamento dei dati personali

In merito alle tipologie di trattamento dati, viene affrontata la modalità di funzionamento del Regolamento Generale.

Questo, ai sensi dell’articolo 2 del regolamento UE GDPR, trova la sua perfetta applicazione sia sui dati personali interamente o parzialmente automatizzati, che su quelli non automatizzati contenuti su documenti cartacei.

Sempre in questo percorso, sulla base di quanto indicato all’interno dell’articolo 4 del GDPR, viene definito il concetto di archivio, noto anche come filing system, intendendo con esso ogni insieme strutturato di dati personali cui si può avere accesso sulla base di determinati criteri.

Accessibilità che prescinde dal fatto che il suddetto sistema risulti centralizzato, decentralizzato oppure ripartito in maniera funzionale o in alternativa in modo geografico.

Figure professionali previste all’interno del GDPR

Vengono presentate nei dettagli le figure cardine che qualsiasi realtà imprenditoriale deve avere per essere conforme alla normativa sulla privacy, vale a dire:

• • Il Titolare del Trattamento dei dati personali;
• • Il Responsabile del Trattamento;
• • Il Responsabile della Protezione dei Dati (DPO, Data Protection Officer).

Entriamo più nello specifico di queste figure.

Il Titolare del Trattamento

il Titolare del Trattamento dei dati personali ha il compito di far rispettare i principi stabiliti all’interno del GDPR, predisponendo tutte le misure tecniche ed organizzative necessarie.

In riferimento ai compiti inerenti la correttezza, la trasparenza del Trattamento dei Dati, il totale rispetto delle finalità e la massima riservatezza, il Titolare del Trattamento dei dati personali può condividerli anche con diverse figure professionali, note come contitolari.

Tutto ciò deve avvenire a seguito della definizione di un regolamento interno all’azienda.

Il Responsabile del Trattamento

Il Responsabile del Trattamento ha il compito di garantire che i dati vengano trattati in base a quanto stabilito nel Regolamento, ovvero nel totale rispetto delle policy di natura organizzativa e tecnica, fondamentali per il raggiungimento di quest’obiettivo.

Questa figura professionale ricopre un ruolo strategico: la sua nomina viene effettuata mediante un contratto che ne disciplina la natura, la tipologia, la durata e le finalità dei dati trattati.

Un ulteriore suo compito è quello di supportare il Titolare del Trattamento a fronte di richieste relative all’esercizio dei diritti del diretto interessato.

Fra questi figurano la cancellazione, la restituzione di tutti i dati, la distruzione delle copie ancora esistenti con l’intento di rispettare appieno il Trattamento e il fornire tutte le informazioni attinenti al rispetto dei suoi vari obblighi, qualora vi fossero controlli o ispezioni.

Il Responsabile della Protezione Dati

Il Responsabile della Protezione dei Dati (DPO, Data Protection Officer) è una figura professionale introdotta solo con l’entrata in vigore del Regolamento Europeo relativo alla protezione dei dati.

Può essere sia interna che esterna all’azienda: in quest’ultima circostanza, agendo in outsourcing, è necessario definire ulteriormente quali siano le sue competenze e il suo raggio d’azione.

Il compito prioritario del Responsabile della Protezione dei Dati verte comunque sull’effettuare consulenze a tutti gli attori protagonisti dell’intero processo di Trattamento dei Dati, compresi sia il Titolare del Trattamento dei dati personali che il Responsabile del Trattamento.

Tocca a lui mettere in pratica attività di audit inerenti al tema data privacy, nonché occuparsi dell’organizzazione delle attività di formazione per il personale.

Sempre il DPO si occupa di:

• • Definire quali siano le priorità da far rispettare;
• • Monitorare che l’intera normativa della privacy sia rispettata appieno;
• • Dare pareri circa la valutazione dell’impatto in materia di protezione dei dati;
• • Tenere il Registro dei Trattamenti.

Questo documento è di estrema importanza, in quanto conferma che la gestione dei dati avviene in maniera corretta ed in conformità al gdpr.

Altre competenze in ambito Sistema Gestione Privacy

Si acquisiscono inoltre competenze in merito a:

• • Riconoscimento di un Trattamento basato sulla liceità, ai sensi di quanto indicato all’interno dell’articolo 6 del GDPR;
• • Riconoscimento di quando un trattamento necessita obbligatoriamente del consenso, ai sensi di quanto indicato all’interno dell’articolo 7 del GDPR;
• • Casi in cui il trattamento di alcuni dati può essere eseguito anche senza bisogno del consenso del diretto interessato, al fine soddisfare un obbligo di Legge che, invece, è compito del titolare del Trattamento.

Come viene erogata l’offerta formativa in GDM?

Scegliendo GDM in qualità di partner in materia di privacy e sicurezza dei dati, la formazione può essere erogata in varie modalità:

• • In aula, al cospetto dei partecipanti: i nostri esperti si recano in loco, mettendo a disposizione delle figure incaricate dall’azienda tutto il loro know-how, accumulato in un percorso di esperienza pluriennale;
• • In e-learning o aula virtuale: i corsi a distanza consentono ai nostri esperti di spiegare tutti gli argomenti senza vincoli di luogo o orario; direttamente dalla nostra sede con i partecipanti che possono intervenire ugualmente, quando lo reputano opportuno.

In entrambi i casi, i discenti vengono sottoposti ad un test di verifica dell’apprendimento.

In caso di superamento, viene rilasciato un attestato che certifica il soddisfacimento dei requisiti specifici .

Consulenza e predisposizione documentale

Attraverso il nostro team di esperti analizziamo tutti i processi di trattamento, dal momento in cui un dato viene raccolto, ricordiamo infatti che il Trattamento consiste in “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.

Sulla base della definizione sopra riportata, è facilmente intuibile che qualsiasi cosa facciamo con un dato, dal momento in cui ne veniamo a conoscenza, rappresenta un Trattamento e quindi deve essere legittimato da processi aziendali chiari, definiti e comunemente condivisi, da tutte le figure del trattamento.

Le figure “principali” nel sistema Privacy, chi sono e cosa fanno nella pratica?

Di fondamentale importanza è identificare le figure del trattamento all’interno della propria organizzazione; nel Regolamento Europeo sulla protezione dei dati sono infatti riconosciuti i seguenti attori: Il Titolare del trattamento, il Responsabile del trattamento (art. 28 GDPR), gli Autorizzati al trattamento e l’Interessato al trattamento.

I Titolare del Trattamento – qualora siano due, si parla di Contitolare – è, ai sensi dell’art. 4 del GDPR: ”la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina i mezzi le finalità del trattamento di dati personali”.

All’interno del modello organizzativo è identificabile in: colui che non riceve istruzioni da nessuno e decide in piena autonomia quali dati trattare, le modalità con le quali questi dati verranno trattati e infine decide il motivo del trattamento, quindi le finalità per le quali un determinato dato viene trattato.

Il Responsabile del Trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

In virtù della necessità di contrattualizzare la collaborazione tra il titolare del trattamento e il responsabile del trattamento - ancor più considerata la presenza della figura dell’autorizzato al trattamento - il responsabile del trattamento è da considerarsi figura non soggetta a vincoli di subordinazione con il titolare del trattamento.

E’ riconosciuta la figura del Corresponsabile del trattamento, il quale collabora con il responsabile del trattamento ed è esterno all’organizzazione di quest’ultimo.

Gli Autorizzati al trattamento – identificabile nel “terzo”, GDPR all’art.4 lettera 10 – sono “ la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”; in quanto “sotto l’autorità” è possibile identificarli in coloro che hanno un vincolo di subordinazione con il titolare del trattamento o con il responsabile del trattamento.

Gli Interessati sono identificabili nella persona fisica a cui si riferiscono i dati.

L’Interessato è quindi il soggetto più oggetto di tutela da parte del GDPR, infatti nel regolamento Europeo di Protezione dei Dati, all’art. 1 - oggetto e finalità - lettera 1, viene sancito che “ Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”; la prima finalità delle tre citate, è la protezione delle persone fisiche, quindi degli Interessati.

Quali documenti principali predisporre per la gestione della privacy?

Per capire come procedere con la gestione per la protezione di un determinato dato si rende necessario conoscere la tipologia di dato che vogliamo trattare, successivamente è di fondamentale importanza sapere come trattarlo; in ultima analisi dobbiamo sapere il perché trattiamo quel determinato dato.

Le risposte alle domande, quale, come e perché, permettono di predisporre la corretta documentazione.

Per Trattare un dato in modo lecito è di fondamentale importanza sapere se può essere effettuato ai sensi dell’art. 6 – e quindi non necessita di consenso al trattamento – o se si rende necessario trattare il dato ai sensi dell’art. 7 – previa raccolta del consenso dell’interessato da parte del Titolare del Trattamento.

Queste informazioni determinato le caratteristiche delle informative rese all’interessato, ai sensi dell’art. 13 e dell’art. 14 del GDPR Europeo.

L’Informativa fornita agli Interessati è il documento, redatto ai sensi dell’art. 13 e dell’art. 14 del GDPR, attraverso il quale è possibile raccogliere lo specifico consenso al trattamento, consenso che deve essere prestato in modo libero, specifico, informato e inequivocabile; il consenso deve essere inteso come prestato per le sole finalità per il quale viene fornito.

Particolare attenzione va posta non solo alla raccolta del consenso; l’esercizio di revoca del consenso da parte dell’interessato deve essere facilmente esercitabile, alla pari della facilità con il quale è stato prestato.

Al fine di redigere informative esaustive e allo stesso tempo chiare, si rende necessario individuare più tipologie di Interessati, per questo motivo è di fondamentale importanza affidarsi agli esperti GDM.

La lettera di Nomina del Soggetto Autorizzato (art. 29 del GDPR) al trattamento dei dati personali deve essere redatta dal titolare del trattamento e consegnata al soggetto interno designato come soggetto autorizzato.

Nel documento di nomina devono essere citati i trattamenti, le finalità, le categorie di interessati, le categorie di dati e i permessi accordati al soggetto autorizzato.

Il contratto di Nomina del Responsabile al Trattamento (art. 28 del GDPR) è il contratto che disciplina e rende lecito il trattamento dei dati da parte di soggetti che non hanno vincoli di subordinazione con il titolare del trattamento.

Qualora il Responsabile del Trattamento abbia necessità di affidarsi a sua volta ad altri soggetti esterni alla propria organizzazione, dovrà darne immediata e preventiva comunicazione al titolare del trattamento, oltre che procedere alla loro nomina.

Un altro documento fondamentale è il Registro dei Trattamenti, redatto al fine di censire ed analizzare la totalità dei trattamenti effettuati da parte del titolare o del responsabile del trattamento.

Il registro dei trattamenti deve essere tenuto costantemente aggiornato, in virtù agli effettivi trattamenti di dati effettuati.

Tutti gli sforzi per creare e implementare un modello di gestione della privacy possono vanificarsi nel momento in cui si utilizzano in modo errato gli strumenti informatici, pensate a un virus che cripta tutti i vostri dati o che gli esporta e rende pubblici in rete; per questo motivo predisporre policy di utilizzo delle infrastrutture tecnologiche può salvare la vostra azienda da spiacevoli situazioni.

Individuare tutti gli attori del trattamento e disciplinarne le relazioni è cosa assai difficile, l’errore in un sistema privacy gestito in modo autodidattico è cosa scontata, affidati a consulenti esperti nel settore, GDM è qui per affiancarti in ogni singolo passo verso la compliance.

Chi deve adeguarsi al Regolamento Europeo per il trattamento dei dati?

A questo punto pare ormai chiaro che è obbligato ad ottemperare quanto sancito dal GDPR qualsiasi persona, ente, organizzazione che tratta dati relativi a persone fisiche; anche i condomini sono obbligati ad avere un sistema di gestione della privacy, nella fattispecie si aprono addirittura più scenari in merito a chi è il titolare del trattamento: è il Condominio inteso come compagine o è l’amministratore del condominio a fungere da titolare del trattamento?

La risposta corretta è: dipende; sono diversi gli aspetti da approfondire, per questo l’amministratore di condominio dovrebbe immediatamente contattarci al fine di iniziare fin da subito ad adeguare le realtà che segue e rappresenta.

Perché scegliere GDM per il sistema di gestione privacy?

Scegliere GDM vuol dire puntare su un team multidisciplinare di professionisti, il cui scopo principale consiste nell'essere un affidabile Business Partner per i propri clienti.

Da anni il nostro lavoro è quello di affiancarli e supportarli nelle decisioni, in modo da garantire loro il pieno raggiungimento degli obiettivi prefissati, in qualsiasi ambito aziendale.

Per questo motivo, sia le grandi multinazionali che le PMI che costituiscono la spina dorsale del tessuto industriale del nostro Paese, scelgono GDM per ciò che concerne le misure di sicurezza per la privacy dei dati sensibili.