Certificazione
La GPDR ha come obiettivo principale garantire la protezione dei dati personali degli individui, rafforzando i diritti degli interessati e imponendo obblighi più stringenti a chi tratta dati personali. In altre parole, il GDPR serve a tutelare la privacy delle persone e a garantire un uso trasparente e sicuro dei loro dati.
Cos'è la GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento dell’Unione Europea che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. Il GDPR ha influenzato significativamente altre normative sulla privacy dei dati in tutto il mondo e richiede la conformità di qualsiasi organizzazione che acceda ai dati personali delle persone nell’UE.
Il regolamento sposta il fulcro della normativa dalla tutela dell’interessato alla responsabilità del titolare e dei responsabili del trattamento (responsabilizzazione, anche se la traduzione italiana non rende l’idea perchè accountability vuol dire “dover rendere conto del proprio operato”), che si deve concretizzare nell’adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento. Non è più accettabile un approccio formalistico, del tipo ho il consenso e tratto il dato, visto che il consenso al massimo è una delle basi che legittimano il trattamento, ma rimane sempre la responsabilità del titolare di tutelare l’interessato e l’intera società dai rischi impliciti nel trattamento di dati personali. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere in autonomia le modalità e i limiti del trattamento dei dati in base ai principi generali specifici indicati nel Regolamento. Ovviamente il titolare è vincolato a principi specifici fissati dal Regolamento, in particolare i principi di privacy by design e by default.
Con il GDPR:
- Si introduce il concetto di responsabilizzazione o accountability del titolare;
- Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
- Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
- Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
- Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
- Si introducono regole più chiare su informativa e consenso;
- Viene ampliata la categoria dei diritti che spettano all’interessato;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
Certificazione
Cos'è la GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento dell’Unione Europea che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. Il GDPR ha influenzato significativamente altre normative sulla privacy dei dati in tutto il mondo e richiede la conformità di qualsiasi organizzazione che acceda ai dati personali delle persone nell’UE.
Il regolamento sposta il fulcro della normativa dalla tutela dell’interessato alla responsabilità del titolare e dei responsabili del trattamento (responsabilizzazione, anche se la traduzione italiana non rende l’idea perchè accountability vuol dire “dover rendere conto del proprio operato”), che si deve concretizzare nell’adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento. Non è più accettabile un approccio formalistico, del tipo ho il consenso e tratto il dato, visto che il consenso al massimo è una delle basi che legittimano il trattamento, ma rimane sempre la responsabilità del titolare di tutelare l’interessato e l’intera società dai rischi impliciti nel trattamento di dati personali. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere in autonomia le modalità e i limiti del trattamento dei dati in base ai principi generali specifici indicati nel Regolamento. Ovviamente il titolare è vincolato a principi specifici fissati dal Regolamento, in particolare i principi di privacy by design e by default.
Con il GDPR:
- Si introduce il concetto di responsabilizzazione o accountability del titolare;
- Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
- Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
- Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
- Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
- Si introducono regole più chiare su informativa e consenso;
- Viene ampliata la categoria dei diritti che spettano all’interessato;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
La GPDR ha come obiettivo principale garantire la protezione dei dati personali degli individui, rafforzando i diritti degli interessati e imponendo obblighi più stringenti a chi tratta dati personali. In altre parole, il GDPR serve a tutelare la privacy delle persone e a garantire un uso trasparente e sicuro dei loro dati.
Il nostro approccio
GPDR
GERICO supporta le aziende nelle attività richieste dal regolamento e nella postura che l’impresa deve mantenere nella conduzione dei processi in rispetto dei vincoli imposti, attraverso:
- fornire consulenza al titolare del trattamento in merito agli obblighi derivanti dal regolamento, con particolare riferimento alla tenuta del registro dei trattamenti e al registro relativo ai data breach;
- sorvegliare l’osservanza del regolamento, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo attraverso piani di audit specifici;
- fornire un parere in merito verso tutte le valutazioni d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del regolamento 679/2016;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento;
- garantire la tenuta dell’inventario dei data breach subiti dalla società.
GERICO prevede inoltre un servizio “chiavi in mano” con il DPO as a Service (nomina formale per lo svolgimento delle attività previste dal GDPR), totalmente definito ad-hoc sul Cliente: la nostra esperienza è a supporto della Direzione per valutare le specifiche necessità.
L’attività può essere svolta sia sul perimetro di informazioni aziendali a tutela della proprietà intellettuale e dei segreti industriali, sia per le informazioni a rilevanza privacy al fine di essere conformi al GDPR.
Censimento delle informazioni aziendali e valutandone le eventuali criticità e definendo delle azioni atte a contenere i rischi.
Cosa offriamo
Supporto alle aziende per:
- attività richieste dal regolamento e nella conduzione dei processi in rispetto dei vincoli imposti dal GDPR;
- estensione del proprio Sistema di Gestione per la Sicurezza delle Informazioni ISO/IEC 27001 alla nuova ISO 27701 con la definizione di un PIMS – Privacy Information Management System in conformità con il GDPR;
- analisi forense ai fini dell’identificazione di eventuali Data Breach su Dati Personali in caso di incidente o attacco informatico in conformità con il GDPR.
- Introduzione al GDPR (2/4 ore)
FORMAZIONE PER IL PERSONALE AZIENDALE
INCARICATO AGLI ASPETTI PRIVACY
- GDPR e d.lgs 101 (16 ore)
- Lo standard ISO 27701 applicazione pratica (16 ore)
- Corsi On-Line tramite piattaforma E-Learning:
- Information Security Awareness (7 moduli per un totale di 4 ore)
- Introduzione al GDPR (1 ora)
- Introduzione alla ISO/IEC 27001 (1 ora)
I corsi sono strutturati a moduli fruibili, e vedono un docente altamente qualificato che illustra le tematiche supportato da slide di comprensione, che sono a disposizione degli studenti, alterna spiegazioni teoriche, esempi pratici e piccoli filmati che rendono più leggeri gli argomenti trattati.