041.20.30.40.3

info@vegadigital.it

Top
Registro dei trattamenti

Responsabile protezione dati / DPO

Analisi dei rischi

Regolarizzazione videosorveglianza

Servizi di adeguamento privacy

Il servizio consente ai titolari del trattamento (siano essi soggetti pubblici o privati) di rispettare pienamente tutti i vincoli normativi in materia di data protection così come previsti sia dal Regolamento europeo sia dalla normativa nazionale.

In una prima fase viene condotta l’analisi delle attuali politiche di trattamento dei dati personali in essere presso l’organizzazione del titolare del trattamento.

L’analisi è finalizzata ad una prima verifica preventiva circa la conformità delle relative operazioni a GDPR, al Codice della Privacy novellato dal D.Lgs. 101/2018 – se applicabile – alle Linee Guida europee di implementazione del GDPR ed ai Provvedimenti Generali dell’Autorità Garante per la protezione dei dati personali, con riferimento a vari trattamenti (di tipo amministrativo, lavoristico, contabile, previdenziale, etc) ed a varie categorie di interessati (es: clienti, personale dipendente, collaboratori esterni a qualsiasi titolo, fornitori, società, amministrazioni pubbliche, etc).

La verifica viene effettuata:

Attraverso l’invio di un dettagliato questionario (”Check List Privacy”);

Attraverso successiva e fondamentale attività di audit.

Effettuata la verifica preliminare ad ampio raggio di cui sopra e relativa a tutti i trattamenti di dati personali, si procede all’adeguamento personalizzato delle politiche di trattamento dei dati personali intervenendo, al solo titolo di esempio, nelle seguenti aree:

    • Redazione personalizzata degli atti di nomina a Responsabile del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal Regolamento) ai sensi dell’art. 28 del GDPR e strutturazione della procedura di conferimento delle nomine;

 

    • Redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del GDPR – di quelli che la normativa italiana ha fino ad oggi definito “incaricati el trattamento”; il GDPR non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal Regolamento UE;

 

    • Strutturazione del Registro delle attività del trattamento, adempimento documentale previsto dall’articolo 30 del GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile del trattamento;

 

    • Revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art. 13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi se questa è la base giuridica del trattamento);

 

    • Adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del GDPR a tutela degli interessati;

 

    • Revisione dei processi e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi Extra UE;

 

    • Implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione dei dati” (Privacy Impact Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documenta;

 

    • Implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;

 

    • Redazione – ove l’ente faccia parte di un gruppo sociateraio che tratta i dati delle persone fisiche in contitolarità tra le varie società – dell’accordo di contitolarità ai sensi dell’articolo 26 del GDPR;

 

    • Implementazione dei processi e della documentazione volti a garantire il nuovo diritto alla portabilità dei dati;

 

    • Implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal GDPR;

 

    • Adozione delle misure di sicurezza nel trattamento richiesta dall’articolo 32 del GDPR.

 

L’elencazione di cui sopra è esemplificativa. Gli adeguamenti riguardano altresì la conformità delle politiche di trattamento dei dati a prescrizioni specifiche applicabili a diverse categorie di titolari del trattamento pubblici o privati.