Consulenza Regolamento GDPR

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016

    Consulenza GDPR

    1. Home
    2. /
    3. Consulenze per rispondere a...
    4. /
    5. Regolamento GDPR

    Il GDPR è il Regolamento che si è dato l’Unione Europea per assicurare nei propri confini il corretto trattamento dei dati personali.

    Assessment iniziale senza impegno
    Voi capite noi, noi capiamo voi

    Siamo disponibili ad avviare senza impegno le attività per la certificazione della vostra azienda, per consentire a voi di entrare nel merito del processo, e alla Memole di conoscere meglio l’azienda, le sue necessità e specifiche aspettative.
    Alla fine dell’assessment, saremo entrambi più consapevoli, ed in grado di valutare insieme l’impegno prevedibilmente richiesto per giungere al risultato.
    In ogni caso, la Memole non lavora “a tassametro”: a fronte dell’importo stabilito, i suoi consulenti supportano l’azienda fino al conseguimento della certificazione, a prescindere dalle giornate.

    Steps percorso certificazione – Supporto consulenziale

    1. Analisi del contesto interno ed esterno
    8%
    Si individuano i principali stakeholders aziendali, e quali sono i loro impegni e le aspettative nei confronti dell’azienda
    2. Screening delle prassi e dei flussi operativi dell’azienda
    13%
    Si analizza quanto la cultura aziendale ha consolidato in termini di pratiche, valorizzandone la qualificazione rispetto ai requisiti previsti dalla norma di riferimento
    3. Analisi dei rischi e delle opportunità
    16%
    Si analizzano i rischi di mancato rispetto dei requisiti della norma, non sufficientemente coperti dalle prassi aziendali, e le opportunità che potrebbero cogliersi con una migliore qualificazione delle prassi stesse
    4. Individuazione dei presìdi da adottare per la riduzione del rischio
    24%
    Per i rischi che non presentano sufficiente copertura,
    si individuano i presìdi adottabili, in
    termini di migliori controlli, più efficienti modalità operative ecc.
    5. Adeguamento dei processi aziendali
    29%
    I presìdi individuati vengono implementati nei processi aziendali
    6. Redazione della documentazione di sistema (manuale e procedure)
    40%
    I processi così qualificati sono descritti nella documentazione di sistema (manuale e
    procedure). Tale documentazione è approvata dalla direzione aziendale ed illustrata al
    personale
    7. Messa in esercizio del sistema
    49%
    Viene curata la concreta applicazione del sistema, intervenendo eventualmente con le
    revisioni che si rendessero necessarie
    8. Verifica dello stato di applicazione del sistema e di conformità ai requisiti della norma di riferimento
    70%
    Tramite cicli di audits interni, sull’intero sistema, se ne verifica lo stato di applicazione e la
    effettiva conformità alla norma di riferimento
    9. Scelta di un ente di certificazione
    82%
    Si individua l’ente accreditato, si presenta la domanda di certificazione e si pianifica l’audit
    10. Sostenimento dell’audit
    89%
    L’audit vede come protagonisti l’azienda nel suo complesso, e i suoi dipendenti, che devono dimostrare di possedere sufficiente conoscenza e competenza applicativa della norma e delle procedure di sistema.
    11. Conseguimento del certificato
    100%
    Il rapporto dell’auditor con la proposta di certificazione di conformità alla norma,
    indirizzata al comitato dell’ente, sancisce la conclusione dell’iter di certificazione

    Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016

    I regolamenti europei, a differenza delle direttive, non richiedono, per entrare in vigore, che gli stati membri della U.E. li recepiscano con una legge nazionale ma risultano vigenti in tutta la U.E. all’atto stesso della sua emissione.
    Entrato pertanto in vigore nel 2016, è stato dato tempo 2 anni ad aziende ed organizzazioni per adeguare i propri sistemi e procedure interne ai requisiti stabiliti dal Regolamento.

    La scadenza è stata quindi il 25 maggio 2018.

    La Memole, forte della esperienza maturata nell’allestimento di sistemi per la gestione dei dati personali conformi alla legislazione italiana sulla privacy (Dlgs. n. 196/2003), e di sistemi per la sicurezza delle informazioni certificati conformi alla ISO/IEC 27001, è in grado di erogare prestazioni consulenziali finalizzate all’allestimento e messa in esercizio di un sistema per il trattamento dei dati personali, in conformità a quanto prescritto dal GDPR.

     

    Lo schema di erogazione delle prestazioni adottato dalla Memole Ingegneria prevede che il supporto consulenziale si esplichi secondo 4 ambiti di intervento:

    1. Definizione, implementazione e messa in esercizio delle procedure per la gestione dei diritti degli utenti: vengono attivate procedure per la gestione dei diritti degli utenti, secondo i diversi aspetti contemplati dal regolamento;
    2. Supporto consulenziale al titolare / responsabile del trattamento per il corretto svolgimento degli adempimenti a sua diretta responsabilità: il titolare ed il responsabile del trattamento non vengono lasciati “soli” ma sono seguiti in tutti gli adempimenti loro richiesti dal regolamento
    3. Consulenza legale al titolare / responsabile del trattamento ove occorresse, la memole ingegneria mette a disposizione del cliente un avvocato qualificato sulla specifica problematica a cui il cliente può affidarsi nel dirimere questioni specifiche o per comunicare con gli organi governativi di controllo
    4. Piena assunzione del ruolo di responsabile della protezione dei dati, nei termini e nelle modalità stabilite dal regolamento. Ove l’azienda non volesse/potesse affidare a persone del proprio staff interno il ruolo, previsto dal regolamento, di responsabile della protezione dei dati, la memole ingegneria è disponibile a farsene carico, mettendo a disposizione un professionista certificato per tale funzione

    Ambiti di intervento
    Di ciascun ambito di intervento si indicano schematicamente nel seguito:

    • i riferimenti agli articoli del Regolamento che motivano l’esigenza dell’intervento,
    • le coperture consulenziali, operative e di ruolo, che siamo in grado di offrire sulla tematica,

    Definizione, implementazione e messa in esercizio delle procedure per la gestione dei diritti degli utenti: 

    Riferimenti regolamentari

    Sviluppo delle procedure per la gestione dei diritti degli utenti

    Art. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

    Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

    Art. 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

    Art. 15 Diritto di accesso dell’interessato

    Art. 16 Diritto di rettifica

    Art. 17 Diritto alla cancellazione («diritto all’oblio»)

    Art. 18 Diritto di limitazione di trattamento

    Art. 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

    Art. 20 Diritto alla portabilità dei dati

    Art. 21 Diritto di opposizione

    Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

    Procedura per la gestione del diritto alla trasparenza

    Procedura per la gestione del diritto alla informativa 

    Procedura per la gestione del diritto all’accesso ai dati

    Procedura per la gestione del diritto alla rettifica dei dati

    Procedura per la gestione del diritto alla cancellazione dei dati 

    Procedura di gestione del diritto alla limitazione al trattamento dati 

    Procedura per la gestione delle notifiche obbligatorie agli utenti

    Procedura per la gestione del diritto alla portabilità dei dati utente

    Procedura per la gestione del diritto di opposizione dell’utente

    Procedura di controllo dei processi decisionali automatizzati

     

    Supporto consulenziale al titolare / responsabile del trattamento per il corretto svolgimento degli adempimenti a sua diretta responsabilità

    Riferimenti regolamentari

    Consulenza sugli adempimenti richiesti al titolare / responsabile

    Art. 24 Responsabilità del titolare del trattamento

    Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

    Art. 28 Responsabile del trattamento

    Art. 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

    Art. 30 Registri delle attività di trattamento

    Art. 31 Cooperazione con l’autorità di controllo

    Art. 32 Sicurezza del trattamento

    Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

    Art. 34 Comunicazione di una violazione dei dati personali all’interessato

    Art. 35 Valutazione d’impatto sulla protezione dei dati

    Art. 36 Consultazione preventiva

    adozione di una politica di trattamento dei dati personali che tenga conto dell’ambito di applicazione, del contesto, dei rischi, delle finalità 

    adozione di uno standard di progettazione dei sistemi di gestione dati rispondente ai criteri di protezione dei dati richiesti dal regolamento

    analisi del patrimonio informativo aziendale per verificare il livello di protezione attuale, e identificarne le situazioni a rischio non accettabile

    analisi dei trattamenti per la individuazione, sviluppo ed attuazione di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio

    valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali per le situazioni a rischio elevato

    allestimento e messa in esercizio dei registri di attività di trattamento

    riesame delle misure adottate

    comunicazioni agli utenti per eventuali violazioni dei dati personali

    notifiche alla autorità di controllo

    consultazioni preventive alla autorità di controllo

    Consulenza legale al titolare / responsabile del trattamento 

    Riferimenti regolamentari

    Principali ambiti di applicazione del servizio di consulenza legale 

    Art. 24 Responsabilità del titolare del trattamento

    Art. 28 Responsabile del trattamento

    Art. 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

    Art. 31 Cooperazione con l’autorità di controllo

    Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

    Art. 34 Comunicazione di una violazione dei dati personali all’interessato

    Art. 36 Consultazione preventiva

    implicazioni legali delle misure adottate

    comunicazioni agli utenti per eventuali violazioni dei dati personali

    notifiche alla autorità di controllo

    consultazioni preventive alla autorità di controllo

    Piena assunzione del ruolo di responsabile della protezione dei dati, nei termini e nelle modalità stabilite dal regolamento 

    Riferimenti regolamentari

    Funzioni prese in carico dal responsabile della protezione dei dati

    Art. 35 Valutazione d’impatto sulla protezione dei dati

    Art. 36 Consultazione preventiva 

    Art. 37 Designazione del responsabile della protezione dei dati

    Art. 38 Posizione del responsabile della protezione dei dati

    Art. 39 Compiti del responsabile della protezione dei dati

    monitoraggio regolare e sistematico dell’utenza

    gestione delle richieste degli utenti

    presa in carico di tutte le questioni riguardanti la protezione dei dati personali

    gestione delle risorse messe a sua disposizione per assolvere i compiti affidatigli, accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

    relazioni periodiche e sistematiche al titolare / responsabile del trattamento; 

    consulenza al titolare / responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

    sorveglianza sull’osservanza del regolamento e delle procedure del sistema per il trattamento dei dati personali, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare / responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

    fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del regolamento;

    cooperare con l’autorità di controllo; 

    fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del regolamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
    Chiama per un Assesment