Consulenza Regolamento GDPR

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016

Consulenza GDPR

Il GDPR è il Regolamento che si è dato l’Unione Europea per assicurare nei propri confini il corretto trattamento dei dati personali.

Assessment iniziale senza impegno
Voi capite noi, noi capiamo voi

Siamo disponibili ad avviare senza impegno le attività per la certificazione della vostra azienda, per consentire a voi di entrare nel merito del processo, e alla Memole di conoscere meglio l’azienda, le sue necessità e specifiche aspettative.
Alla fine dell’assessment, saremo entrambi più consapevoli, ed in grado di valutare insieme l’impegno prevedibilmente richiesto per giungere al risultato.
In ogni caso, la Memole non lavora “a tassametro”: a fronte dell’importo stabilito, i suoi consulenti supportano l’azienda fino al conseguimento della certificazione, a prescindere dalle giornate.

Steps percorso certificazione – Supporto consulenziale

1. Analisi del contesto interno ed esterno
8%
Si individuano i principali stakeholders aziendali, e quali sono i loro impegni e le aspettative nei confronti dell’azienda
2. Screening delle prassi e dei flussi operativi dell’azienda
13%
Si analizza quanto la cultura aziendale ha consolidato in termini di pratiche, valorizzandone la qualificazione rispetto ai requisiti previsti dalla norma di riferimento
3. Analisi dei rischi e delle opportunità
16%
Si analizzano i rischi di mancato rispetto dei requisiti della norma, non sufficientemente coperti dalle prassi aziendali, e le opportunità che potrebbero cogliersi con una migliore qualificazione delle prassi stesse
4. Individuazione dei presìdi da adottare per la riduzione del rischio
24%
Per i rischi che non presentano sufficiente copertura,
si individuano i presìdi adottabili, in
termini di migliori controlli, più efficienti modalità operative ecc.
5. Adeguamento dei processi aziendali
29%
I presìdi individuati vengono implementati nei processi aziendali
6. Redazione della documentazione di sistema (manuale e procedure)
40%
I processi così qualificati sono descritti nella documentazione di sistema (manuale e
procedure). Tale documentazione è approvata dalla direzione aziendale ed illustrata al
personale
7. Messa in esercizio del sistema
49%
Viene curata la concreta applicazione del sistema, intervenendo eventualmente con le
revisioni che si rendessero necessarie
8. Verifica dello stato di applicazione del sistema e di conformità ai requisiti della norma di riferimento
70%
Tramite cicli di audits interni, sull’intero sistema, se ne verifica lo stato di applicazione e la
effettiva conformità alla norma di riferimento
9. Scelta di un ente di certificazione
82%
Si individua l’ente accreditato, si presenta la domanda di certificazione e si pianifica l’audit
10. Sostenimento dell’audit
89%
L’audit vede come protagonisti l’azienda nel suo complesso, e i suoi dipendenti, che devono dimostrare di possedere sufficiente conoscenza e competenza applicativa della norma e delle procedure di sistema.
11. Conseguimento del certificato
100%
Il rapporto dell’auditor con la proposta di certificazione di conformità alla norma,
indirizzata al comitato dell’ente, sancisce la conclusione dell’iter di certificazione

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016

I regolamenti europei, a differenza delle direttive, non richiedono, per entrare in vigore, che gli stati membri della U.E. li recepiscano con una legge nazionale ma risultano vigenti in tutta la U.E. all’atto stesso della sua emissione.
Entrato pertanto in vigore nel 2016, è stato dato tempo 2 anni ad aziende ed organizzazioni per adeguare i propri sistemi e procedure interne ai requisiti stabiliti dal Regolamento.

La scadenza è stata quindi il 25 maggio 2018.

La Memole, forte della esperienza maturata nell’allestimento di sistemi per la gestione dei dati personali conformi alla legislazione italiana sulla privacy (Dlgs. n. 196/2003), e di sistemi per la sicurezza delle informazioni certificati conformi alla ISO/IEC 27001, è in grado di erogare prestazioni consulenziali finalizzate all’allestimento e messa in esercizio di un sistema per il trattamento dei dati personali, in conformità a quanto prescritto dal GDPR.

 

Lo schema di erogazione delle prestazioni adottato dalla Memole Ingegneria prevede che il supporto consulenziale si esplichi secondo 4 ambiti di intervento:

  1. Definizione, implementazione e messa in esercizio delle procedure per la gestione dei diritti degli utenti: vengono attivate procedure per la gestione dei diritti degli utenti, secondo i diversi aspetti contemplati dal regolamento;
  2. Supporto consulenziale al titolare / responsabile del trattamento per il corretto svolgimento degli adempimenti a sua diretta responsabilità: il titolare ed il responsabile del trattamento non vengono lasciati “soli” ma sono seguiti in tutti gli adempimenti loro richiesti dal regolamento
  3. Consulenza legale al titolare / responsabile del trattamento ove occorresse, la memole ingegneria mette a disposizione del cliente un avvocato qualificato sulla specifica problematica a cui il cliente può affidarsi nel dirimere questioni specifiche o per comunicare con gli organi governativi di controllo
  4. Piena assunzione del ruolo di responsabile della protezione dei dati, nei termini e nelle modalità stabilite dal regolamento. Ove l’azienda non volesse/potesse affidare a persone del proprio staff interno il ruolo, previsto dal regolamento, di responsabile della protezione dei dati, la memole ingegneria è disponibile a farsene carico, mettendo a disposizione un professionista certificato per tale funzione

Ambiti di intervento
Di ciascun ambito di intervento si indicano schematicamente nel seguito:

  • i riferimenti agli articoli del Regolamento che motivano l’esigenza dell’intervento,
  • le coperture consulenziali, operative e di ruolo, che siamo in grado di offrire sulla tematica,

Definizione, implementazione e messa in esercizio delle procedure per la gestione dei diritti degli utenti: 

Riferimenti regolamentari

Sviluppo delle procedure per la gestione dei diritti degli utenti

Art. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

Art. 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

Art. 15 Diritto di accesso dell’interessato

Art. 16 Diritto di rettifica

Art. 17 Diritto alla cancellazione («diritto all’oblio»)

Art. 18 Diritto di limitazione di trattamento

Art. 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Art. 20 Diritto alla portabilità dei dati

Art. 21 Diritto di opposizione

Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

Procedura per la gestione del diritto alla trasparenza

Procedura per la gestione del diritto alla informativa 

Procedura per la gestione del diritto all’accesso ai dati

Procedura per la gestione del diritto alla rettifica dei dati

Procedura per la gestione del diritto alla cancellazione dei dati 

Procedura di gestione del diritto alla limitazione al trattamento dati 

Procedura per la gestione delle notifiche obbligatorie agli utenti

Procedura per la gestione del diritto alla portabilità dei dati utente

Procedura per la gestione del diritto di opposizione dell’utente

Procedura di controllo dei processi decisionali automatizzati

 

Supporto consulenziale al titolare / responsabile del trattamento per il corretto svolgimento degli adempimenti a sua diretta responsabilità

Riferimenti regolamentari

Consulenza sugli adempimenti richiesti al titolare / responsabile

Art. 24 Responsabilità del titolare del trattamento

Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Art. 28 Responsabile del trattamento

Art. 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

Art. 30 Registri delle attività di trattamento

Art. 31 Cooperazione con l’autorità di controllo

Art. 32 Sicurezza del trattamento

Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

Art. 34 Comunicazione di una violazione dei dati personali all’interessato

Art. 35 Valutazione d’impatto sulla protezione dei dati

Art. 36 Consultazione preventiva

adozione di una politica di trattamento dei dati personali che tenga conto dell’ambito di applicazione, del contesto, dei rischi, delle finalità 

adozione di uno standard di progettazione dei sistemi di gestione dati rispondente ai criteri di protezione dei dati richiesti dal regolamento

analisi del patrimonio informativo aziendale per verificare il livello di protezione attuale, e identificarne le situazioni a rischio non accettabile

analisi dei trattamenti per la individuazione, sviluppo ed attuazione di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio

valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali per le situazioni a rischio elevato

allestimento e messa in esercizio dei registri di attività di trattamento

riesame delle misure adottate

comunicazioni agli utenti per eventuali violazioni dei dati personali

notifiche alla autorità di controllo

consultazioni preventive alla autorità di controllo

Consulenza legale al titolare / responsabile del trattamento 

Riferimenti regolamentari

Principali ambiti di applicazione del servizio di consulenza legale 

Art. 24 Responsabilità del titolare del trattamento

Art. 28 Responsabile del trattamento

Art. 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

Art. 31 Cooperazione con l’autorità di controllo

Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

Art. 34 Comunicazione di una violazione dei dati personali all’interessato

Art. 36 Consultazione preventiva

implicazioni legali delle misure adottate

comunicazioni agli utenti per eventuali violazioni dei dati personali

notifiche alla autorità di controllo

consultazioni preventive alla autorità di controllo

Piena assunzione del ruolo di responsabile della protezione dei dati, nei termini e nelle modalità stabilite dal regolamento 

Riferimenti regolamentari

Funzioni prese in carico dal responsabile della protezione dei dati

Art. 35 Valutazione d’impatto sulla protezione dei dati

Art. 36 Consultazione preventiva 

Art. 37 Designazione del responsabile della protezione dei dati

Art. 38 Posizione del responsabile della protezione dei dati

Art. 39 Compiti del responsabile della protezione dei dati

monitoraggio regolare e sistematico dell’utenza

gestione delle richieste degli utenti

presa in carico di tutte le questioni riguardanti la protezione dei dati personali

gestione delle risorse messe a sua disposizione per assolvere i compiti affidatigli, accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

relazioni periodiche e sistematiche al titolare / responsabile del trattamento; 

consulenza al titolare / responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

sorveglianza sull’osservanza del regolamento e delle procedure del sistema per il trattamento dei dati personali, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare / responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del regolamento;

cooperare con l’autorità di controllo; 

fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del regolamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Call Now ButtonChiama per un Assesment