Consulenza Privacy e GDPR

Consulenza Privacy e GDPR: la tutela della privacy non è solo un diritto fondamentale della persona, ma una priorità inderogabile della società moderna, anche in ambito imprenditoriale. Con l’entrata in vigore del Regolamento (UE) 2016/679 (“GDPR”), infatti, la privacy – da obbligo percepito e gestito dalle imprese in maniera più che altro formale – è diventata parte integrante delle attività di un’organizzazione, ponendo particolare attenzione al rispetto del principio di responsabilizzazione (“accountability”), in base al quale il titolare del trattamento dati deve adottare comportamenti proattivi e consapevoli, supportati da attività dimostrabili e finalizzate al rispetto della normativa. Proteggere adeguatamente i dati significa quindi, per un’organizzazione, tutelare il proprio business, la propria immagine e la propria reputazione, evitando il rischio di incorrere in sanzioni e aumentando la fiducia di clienti e consumatori.

La Consulenza Privacy GDPR offerta da Ciquadro – partendo da un’approfondita analisi dei processi e delle attività di trattamento dati eseguite, nonché del contesto e della tipologia di attività dell’organizzazione – è in grado di accompagnare passo a passo le imprese nel processo di adeguamento al GDPR e a tutti gli standard in materia di sicurezza dei dati personali, con l’obiettivo di rilevare le criticità, identificare le azioni da implementare per porvi rimedio e garantire la compliance aziendale.

Questi, in sintesi, i principali interventi con i quali Ciquadro può assistere le proprie imprese clienti:

  • attività di audit e sopralluogo tecnico volta all’analisi del contesto aziendale
  • gap analysis finalizzata a delineare gli adeguamenti e/o gli interventi di manutenzione necessari al sistema privacy in essere per l’organizzazione. Il risultato della gap analysis è formalizzato in un dettagliato report comprensivo di remediation plan, con indicazione delle azioni correttive necessarie e raccomandate per raggiungere un adeguato livello di compliance, anche in ottica di prevenzione dal potenziale rischio di sanzioni correlate a eventuali inadempimenti
  • identificazione dell’assetto organizzativo in termini di ruoli, compiti e responsabilità connesse al trattamento dati
  • individuazione e designazione formale dei soggetti autorizzati al trattamento dati, come da apposito mansionario sul trattamento dati
  • verifica delle condivisioni di dati con soggetti esterni e definizione delle responsabilità (art. 28, GDPR) e delle contitolarità (art. 26, GDPR), con redazione/revisione della necessaria documentazione
  • redazione/revisione dei documenti di informativa e raccolta del consenso al trattamento dei dati conformemente agli artt. 13 e 14 del GDPR e all’art. 7 del GDPR
  • mappatura delle attività di trattamento dati e implementazione del Registro dei Trattamenti previsto dall’art. 30 del GDPR
  • redazione delle procedure aziendali: in particolare, della procedura per la gestione delle violazioni di dati (Data Breach), al fine di assicurarsi di aver adottato tutti i procedimenti necessari a individuare eventuali violazioni dei dati personali e di poter produrre l’adeguata reportistica, e della procedura per la gestione dei diritti degli interessati, al fine di rispondere correttamente alle disposizioni del GDPR in caso di istanze da parte degli interessati
  • redazione della documentazione in adempimento di provvedimenti a carattere generale del Garante per la Protezione dei Dati Personali (ad esempio, Provvedimento in materia di Amministratori di Sistema)
  • analisi del contesto IT sotto il profilo delle misure di sicurezza implementate a tutela della sicurezza dei dati ai sensi dell’art. 32 del GDPR, e individuazione delle eventuali azioni di miglioramento/adeguamento
  • attività di risk assessment e, ove necessaria, valutazione di impatto sul trattamento dati ex art. 35 GDPR
  • compliance siti web aziendali e attività di e-commerce
  • formazione in materia di privacy del personale autorizzato al trattamento dati, in relazione alle mansioni svolte all’interno dell’organizzazione e alle specifiche attività di trattamento dati effettuate
  • implementazione del Modello Organizzativo Privacy (MOP)

Privacy: il contesto normativo

Pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 ed entrato in vigore il successivo 24 maggio, il Regolamento (UE) 2016/679 – anche noto come GDPR (General Data Protection Regulation) – è pienamente efficace a decorrere dal 25 maggio 2018.

Il GDPR rafforza i diritti delle persone fisiche in relazione al trattamento dei loro dati personali, semplifica il contesto normativo, unifica e rende omogenea la normativa privacy all’interno dell’Unione Europea, favorendo la libera circolazione dei dati all’interno del territorio dell’UE.

Il GDPR si applica al trattamento, automatizzato e non automatizzato, di dati personali di persone fisiche e si riferisce:

  • ai dati trattati da soggetti stabiliti nell’Unione Europea indipendentemente dal fatto che il trattamento sia effettuato all’interno o all’esterno dell’UE
  • ai dati trattati da soggetti non stabiliti nell’Unione Europea ma che trattano dati personali di interessati che risiedono nell’UE

Per quanto il GDPR rappresenti la principale normativa europea in materia di protezione dei dati personali, la compliance di un’organizzazione non può prescindere dal rispetto delle prescrizioni e delle indicazioni:

  • del D.Lgs. 196/03 e s.m.i. (il cosiddetto “Codice Privacy”)
  • dei Provvedimenti e delle Linee Guida del Garante per la Protezione dei Dati Personali
  • delle Linee Guida del Comitato Europeo per la Protezione dei Dati (“EDPB”)

Consulenza Privacy GDPR: Data Breach

Una violazione di dati personali (Data Breach) è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Un data breach può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Alcuni potenziali esempi di data breach possono essere:

  • accesso ai dati o acquisizione di dati da parte di terzi non autorizzati
  • furto o perdita di dispositivi informatici contenenti dati personali
  • deliberata alterazione di dati personali
  • impossibilità di accedere ai dati per cause accidentali o per attacchi esterni (virus, malware…)
  • perdita o distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità
  • divulgazione non autorizzata di dati personali

In caso di data breach, un’organizzazione che opera in qualità di titolare del trattamento è tenuta a gestire l’evento con estrema attenzione, effettuando tutte le necessarie valutazioni e i dovuti approfondimenti. Inoltre, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, l’organizzazione deve notificare la violazione al Garante per la Protezione dei Dati Personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche (art. 33, par. 1, GDPR).

Qualora a venire a conoscenza di una potenziale violazione di dati sia invece un’organizzazione che opera in qualità di responsabile del trattamento, questa è tenuta a informare tempestivamente il titolare in modo che possa attivarsi, collaborando e fornendo al titolare tutto il supporto necessario (art. 33, par. 2, GDPR).

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve inoltre comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto (art. 34, GDPR).

In ogni caso, a prescindere dalla necessità di notifica al Garante o di comunicazione agli interessati, il titolare del trattamento documenta in un apposito registro qualsiasi violazione di dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’Autorità di controllo di verificare il rispetto della normativa (art. 33, par. 5, GDPR).

La Consulenza Privacy GDPR offerta da Ciquadro supporta le organizzazioni nella gestione dei data breach e dei correlati adempimenti. In particolare Ciquadro può occuparsi di:

  • collaborare con il titolare e con le altre figure chiamate dal titolare a far parte del gruppo di analisi e gestione del data breach
  • fornire pareri e valutazioni in merito all’evento finalizzati alla corretta identificazione delle azioni da intraprendere
  • supportare il titolare nella redazione della notifica al Garante e della comunicazione agli interessati
  • individuare le misure necessarie a ridurre l’impatto della violazione (art. 34, GDPR) o a prevenire il ripresentarsi dell’evento

Consulenza Privacy GDPR: il Modello Organizzativo Privacy

Le attività poste in essere e la documentazione che – nel rispetto del principio di accountability – ogni organizzazione è tenuta a redigere per essere in grado di dimostrare che il trattamento dei dati è effettuato in conformità a quanto prescritto dalle normative in materia di privacy, trovano la propria sintesi nel cosiddetto Modello Organizzativo Privacy (MOP), il documento che concretizza il sistema di gestione dei dati all’interno dell’organizzazione.

Il MOP non è un documento obbligatorio. Tuttavia, per quanto non sia espressamente richiesto dal GDPR, risulta un’ottima misura di accountability, in quanto condensa in un unico documento tutto quanto è stato predisposto e attuato dall’organizzazione per l’adeguamento alle normative in materia di privacy e per gestire la compliance (procedure, politiche, modulistica), i riferimenti normativi e le motivazioni alla base delle scelte relative al trattamento dei dati (data retention policy) e lo scadenziario degli adempimenti, permettendo così all’organizzazione di dimostrare la concreta adozione di adeguate misure finalizzate ad assicurare l’applicazione del dettato normativo vigente.

Il MOP consente quindi a un’organizzazione di documentare e dimostrare in ogni momento:

  • la conformità dei trattamenti al GDPR e alle normative vigenti in materia di privacy
  • l’efficacia delle misure adottate nelle attività di trattamento dati
  • l’adeguatezza e la continuità nella gestione del sistema privacy, anche a fronte di eventuali variazioni del contesto interno (nuove attività di trattamento dati o modifiche a quelle già in essere) o esterno (nuovi provvedimenti, aggiornamenti normativi, innovazioni tecnologiche, necessità per un responsabile del trattamento di adeguarsi a specifiche richieste del titolare)

Tuttavia, perché il MOP sia in grado di esprimere tutto il suo potenziale – trattandosi di un modello chiamato a rispecchiare perfettamente l’organizzazione, le misure e le procedure adottate – deve necessariamente essere concepito e modellato “su misura” per ogni singola organizzazione. Non esiste un modello generale che possa essere adottato in ogni realtà aziendale con pretesa di esaustività. La Consulenza Privacy GDPR offerta da Ciquadro è a disposizione per supportare le organizzazioni nell’adozione di un MOP pienamente aderente alla realtà aziendale e idoneo quale forma di mitigazione in grado di soddisfare il principio di accountability e dare piena dimostrazione delle azioni di responsabilizzazione adottate dall’organizzazione.

Consulenza Privacy GDPR: il servizio di Data Protection Officer (DPO)

In base al GDPR, alcune organizzazioni – nella loro qualità di titolari o responsabilità del trattamento dati – sono tenute a nominare un Responsabile della Protezione dei Dati (Data Protection Officer – “DPO”), soggetto designato al fine di assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR e delle normative in materia di trattamento dati all’interno dell’organizzazione.

In particolare, il DPO è tenuto a:

  • sorvegliare l’osservanza del GDPR, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità
  • collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (PIA)
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal GDPR e dalle altre disposizioni in materia di protezione dei dati
  • cooperare con il Garante per la Protezione dei Dati Personali e fungere da punto di contatto con l’Autorità su ogni questione connessa al trattamento
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento o con riferimento ad attività di interlocuzione con l’Autorità (audizioni, accertamenti ispettivi o riunioni svolte a vario titolo)

Il DPO dovrà necessariamente:

  • possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati
  • adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il DPO non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali
  • operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio esternalizzato

L’articolo 37, paragrafo 1, del GDPR, stabilisce che la nomina di un DPO è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico (con eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali)
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati

Nello specifico, ricorrendo i suddetti presupposti – come chiarito dal Garante per la Protezione dei Dati Personali – sono generalmente tenuti alla nomina, a titolo esemplificativo e non esaustivo:

  • autorità pubbliche o organismi pubblici, con eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
  • concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici…)
  • istituti di credito, imprese assicurative, sistemi di informazione creditizia
  • società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti
  • istituti di vigilanza
  • partiti e movimenti politici
  • sindacati, C.A.F. e patronati
  • società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas…)
  • imprese di somministrazione di lavoro e ricerca del personale
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione
  • società di call center
  • società che forniscono servizi informatici
  • società che erogano servizi televisivi a pagamento

Tranne quando sia evidente che un soggetto non è tenuto a nominare un DPO, il Comitato Europeo per la Protezione dei Dati raccomanda comunque alle organizzazioni di documentare le valutazioni compiute al proprio interno per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha correttamente preso in esame tutti i fattori pertinenti. Tale analisi, che può essere richiesta dal Garante in fase di ispezione e controllo, fa parte della documentazione da produrre in base al principio di accountability. Inoltre, in base a tale principio, anche per i casi in cui il regolamento non impone in modo specifico la designazione di un DPO, è comunque sempre possibile una sua nomina su base volontaria.

La consulenza offerta da Ciquadro:

  • supporta le organizzazioni in tutte le attività di analisi e valutazione in merito alla necessità/opportunità di nomina del DPO e durante il processo di eventuale nomina del DPO
  • fornisce il servizio di DPO ai sensi degli artt. 37-39 del GDPR, mettendo a disposizione i propri consulenti per l’assunzione dell’incarico di DPO, al fine di garantire il rispetto della conformità e della protezione dei dati prevista dal GDPR
  • nel caso in cui l’organizzazione abbia provveduto alla nomina di un DPO interno, supporta e affianca il DPO designato nella gestione di tutti gli adempimenti previsti

Consulenza Privacy GDPR: obiettivi e vantaggi

Una Consulenza Privacy GDPR permette, oltre alla totale conformità dell’organizzazione ai requisiti normativi cogenti, di avviare un processo che offre all’organizzazione la possibilità di cogliere numerosi vantaggi:

  • riduzione del rischio di incorrere nelle ingenti sanzioni previste dal legislatore in caso di violazioni del GDPR
  • prevenzione dai rischi di potenziali data breach, mediante specifiche attività di risk assessment
  • creazione di una cultura aziendale in materia di privacy, rendendola parte integrante delle attività dell’organizzazione
  • miglioramento dell’immagine, della credibilità e della competitività dell’organizzazione, in particolare per quelle aziende operanti nei mercati B2C, in cui una corretta gestione della privacy è più che mai fondamentale per ottenere la fiducia dei consumatori
  • miglioramento della competenza delle risorse umane dell’organizzazione, mediante la loro partecipazione a corsi di formazione specifici e il loro attivo coinvolgimento nel mantenimento della compliance aziendale
  • riorganizzazione dei processi aziendali, rendendoli conformi al GDPR e più efficienti
  • base di partenza per intraprendere un percorso di Certificazione dell’organizzazione, ad esempio secondo lo standard ISO/IEC 27001 per la Sicurezza delle Informazioni, potendo così conseguire tutti i benefici propri della Certificazione