Consulenza Privacy – GDPR

Consulenza Privacy – GDPR Padova

Dal 25 maggio del 2018, il Regolamento UE 2016/679 – GDPR (General Data Protection Regulation) ha iniziato a produrre i suoi effetti, rivoluzionando il modo in cui aziende, associazioni ed amministrazioni pubbliche devono trattare i dati personali dei cittadini residenti nell’Unione Europea.

Il Regolamento UE 2016/679 – GDPR ha portata generale e applicabilità diretta: è un testo che vuole uniformare le leggi europee relative al trattamento dei dati personali e garantire il diritto alla riservatezza del cittadino europeo.

Il Regolamento UE 2016/679 – GDPR non propone una mera revisione formale degli adempimenti da attuare, ma impone un’attenta analisi preliminare della tipologia di dati trattati e delle modalità di trattamento, valutando i rischi associati e attuando tutte le misure tecniche e organizzative necessarie alla protezione dei dati personali già nella fase di progettazione dell’attività aziendale.

Privacy e Dati personali

Un dato personale è una qualsiasi informazione riguardante una persona fisica identificabile o identificata (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un indicativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale.

Privacy e Trattamento dei dati personali

Consulenza materia privacy trattamento dati
Consulenza in materia di trattamento dei dati personali

Per trattamento si intende qualsiasi operazione o sistema di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, tutelando l’integrità e la disponibilità dei loro dati personali. Chi tratta dati personali deve e mettere in atto tutte le misure necessarie a tutelare i diritti dell’interessato.

Nell’ambito del Regolamento UE 2016/679 – GDPR, il Legislatore ha previsto pesanti sanzioni (fino 20 milioni di Euro o fino al 4% del fatturato annuo) da applicare nei casi più gravi di violazioni e non conformità.

Studio Scudo offre una consulenza privacy specifica per l’adeguamento al Regolamento UE 2016/679 – GDPR e per la gestione degli adempimenti necessari per un corretto trattamento e protezione dei dati personali.


Cerchi un Partner affidabile per la Privacy e la Protezione Dati della tua Azienda?

Consulenza Privacy Regolamento UE 2016/679 – GDPR

Analisi per l’adeguamento al GDPR

Consulenza GDPR professionale
Consulenza altamente professionale aziendale per GDPR e Privacy

Dopo un’analisi specifica mirata a esaminare: la tipologia di dati trattati, il processo che i dati compiono all’interno dell’organizzazione aziendale del cliente, le misure di sicurezza eventualmente adottate e il grado di adeguamento al Regolamento UE 2016/679 – GDPR, i professionisti di Studio Scudo sono in grado di individuare le eventuali criticità presenti e indicare le azioni preventive e correttive necessarie per un completo adeguamento alla normativa.

Consulenza privacy GDPR aziende B2B e B2C
Privacy per Aziende: adeguamento al GDPR

I professionisti di Studio Scudo affiancano il cliente nella programmazione e nel monitoraggio delle varie attività di adeguamento.

Le risorse necessarie per l’adeguamento al Regolamento UE 2016/679 – GDPR non devono costituire un mero onere per l’azienda cliente, ma un investimento utile per comprendere al meglio l’organizzazione della propria azienda: una verifica approfondita della situazione aziendale permetterà di capire se le risorse umane e tecnologiche presenti sono impiegate in modo ottimale. Studio Scudo affianca i clienti in un’ottica di sviluppo aziendale globale per un’ottimizzazione delle risorse aziendali.

Consulenza Privacy e GDPR

Studio Scudo supporta il cliente mediante i seguenti servizi per la privacy e la protezione dei dati in azienda:

Redazione delle informative

In caso di raccolta di dati personali, il titolare del trattamento deve fornire all’interessato un’informativa contenente una serie di informazioni relative alle finalità e alle modalità di trattamento dei dati. L’informativa privacy è uno strumento atto a garantire un trattamento corretto e trasparente.

L’informativa è dovuta all’interessato ogni volta vi sia un trattamento di dati.

L’informativa deve essere facilmente accessibile, occorre utilizzare un linguaggio chiaro, semplice e comprensibile.

L’informativa privacy deve essere fornita all’interessato prima di effettuare la raccolta dei dati personali; se i dati non sono raccolti presso l’interessato, l’informativa deve essere consegnata entro un limite temporale ragionevole.

Se le finalità di trattamento cambiano, il Regolamento UE 2016/679 – GDPR impone di informare l’interessato prima di procedere al nuovo trattamento, è quindi necessario fornire una nuova informativa che dia le informazioni in merito alle nuove finalità e modalità di trattamento dei dati personali.

I contenuti dell’informativa sono elencati negli artt. 13 e 14 del Regolamento UE 2016/679 – GDPR.

L’informativa deve avere il seguente contenuto minimo:

  • le categorie di dati personali trattati;
  • l’identità e i dati di contatto del titolare del trattamento;
  • i dati di contatto del responsabile della protezione dei dati (DPO), ove applicabile;
  • le finalità di trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari di dati personali;
  • l’eventuale intenzione del titolare di trasferire i dati in paesi extra UE;
  • il periodo di conservazione dei dati oppure l’indicazione dei criteri per determinarlo; 
  • i diritti dell’interessato;
  • un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti; 
    – natura obbligatoria o facoltativa del conferimento dei dati e le eventuali conseguenze di tale rifiuto
  • l’eventuale esistenza di processi decisionali automatizzati (come la profilazione) deve essere specificata, indicando anche la logica utilizzata in tali processi, l’importanza e le conseguenze previste di tale trattamento per l’interessato. 

Il titolare del trattamento deve fornire un’informativa privacy specifica a clienti e fornitori ma anche a ogni dipendente e collaboratore ovvero a tutte le risorse presenti in azienda.

In presenza di un sito internet aziendale, devono essere indicati in una specifica informativa anche i cookie che il sito potrebbe veicolare, le modalità per il consenso all’uso dei cookie, le modalità per la disabilitazione dei cookie e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. 

Una violazione in materia di informazione agli utenti può avere come conseguenza l’elevazione di una sanzione.I consulenti di Studio Scudo affiancano l’azienda cliente nella redazione delle specifiche informative necessarie all’adeguamento al Regolamento UE 2016/679 – GDPR.

Redazione delle nomine per i soggetti autorizzati al trattamento

Il Regolamento UE 2016/679 – GDPR  UE 2016/679  fa riferimento a persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. 

Titolare e Responsabile, possono delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità, fondamentalmente dipendenti o collaboratori.

La persona autorizzata è il soggetto che effettua materialmente le operazioni di trattamento dei dati personali

All’interno di un’organizzazione aziendale, una persona si può definire “autorizzata al trattamento” solo se si può conoscere in modo univoco a quali banche dati ha accesso e quali attività di trattamento è autorizzata a compiere.

Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.

La nomina di autorizzato al trattamento dei dati è un adempimento importante per il titolare del trattamento, non deve limitarsi a una mera attribuzione formale ma deve essere completata da tutte le indicazioni per svolgere le attività in modo adeguato.

Il titolare del trattamento deve:

  • fornire alle persone autorizzate le istruzioni operative necessarie al corretto svolgimento delle loro attività di trattamento, l’autorizzato deve, ovviamente, attenersi strettamente alle istruzioni ricevute.
  • indicare alle persone autorizzare gli obblighi inerenti alle misure di sicurezza;
  • provvedere alla formazione delle persone autorizzate.

I consulenti di Studio Scudo affiancano l’azienda cliente nella redazione di specifiche nomine per la designazione di persone autorizzate al trattamento di dati personali.

Redazione delle nomine per responsabili del trattamento

Il responsabile del trattamentoè la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. 

Il titolare del trattamento deve fornire garanzie per assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, inoltre deve tutelare l’interessato garantendone i diritti previsti dal Regolamento UE 2016/679 – GDPR.

Il titolare del trattamento risponde della gestione effettuata dal responsabile, per questo motivo deve scegliere responsabili del trattamento che presentino garanzie adeguate e che mettano in atto misure tecniche e organizzative per la protezione dei dati personali secondo le disposizioni contenute nel Regolamento UE 2016/679 – GDPR . 

Il responsabile del trattamento deve garantire una particolare affidabilità e disporre delle risorse per attuare gli adempimenti necessari alla protezione dei dati personali.

Il rapporto tra titolare del trattamento e responsabile del trattamento è disciplinato da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Col contratto il titolare delega al responsabile la gestione del trattamento. I consulenti di Studio Scudo affiancano l’azienda cliente nella redazione dei contratti di nomina per responsabili del trattamento.

Regolamenti aziendali per l’adeguamento al GDPR

È importante che le aziende adottino dei regolamenti interni in cui vengono esposte le regole comportamentali da seguire per la gestione dei dati personali e per l’utilizzo degli strumenti elettronici.

L’applicazione di regolamenti aziendali interni è utile per evitare e prevenire condotte che, anche inconsapevolmente, possono comportare rischi alla sicurezza del sistema informativo aziendale: i regolamenti hanno lo scopo di dettare le procedure da adottare per una corretta e adeguata gestione dei dati personali gestiti in azienda.

I dipendenti, i collaboratori e tutte le persone autorizzate ad accedere alle banche dati aziendali e preposte allo svolgimento delle operazioni di trattamento relative a dati personali devono ispirarsi a un principio generale di diligenza e correttezza.

I regolamenti devono essere illustrati e spiegati ai dipendenti e a tutti coloro che sono incaricati a trattare i dati: ogni dipendente e collaboratore è tenuto a rispettare i regolamenti aziendali.

Il titolare del trattamento deve provvedere alla formazione delle persone autorizzate.

I dati personali trattati durante la prestazione lavorativa sono patrimonio aziendale e tutti gli strumenti informatici affidati ai dipendenti, sono strumenti di lavoro.

Ogni utilizzo non inerente all’attività lavorativa può costituire una minaccia alla sicurezza: occorre che la persona autorizzata al trattamento sia ben consapevole che i dati personali e gli strumenti elettronici forniti sono di proprietà dell’azienda e devono essere utilizzati esclusivamente per lo svolgimento della prestazione lavorativa.

Il titolare del trattamento deve redigere dei regolamenti aziendali specifici per la propria realtà lavorativa.

I consulenti di Studio Scudo affiancano l’azienda cliente nella redazione di regolamenti aziendali per l’adeguamento al GDPR.

Redazione dei registri delle attività di trattamento  

Il  Regolamento UE 2016/679 – GDPR  prevede, per alcune realtà aziendali, l’elaborazione del registro delle attività di trattamento dei dati personali.

Ogni titolare e ogni responsabile del trattamento redigono un registro delle attività di trattamento svolte sotto la propria responsabilità. 

Tale registro contiene le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • la descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

L’obbligo di redazione e adozione del registro non è generale, alcune realtà aziendali sono escluse dal vincolo di elaborazione del registro trattamento.

Non bisogna ritenere che l’adozione del registro sia un mero obbligo da adempiere in modo formale.

La sua redazione fornisce in modo chiaro un quadro dei trattamenti di dati personali svolti in azienda e costituisce uno strumento di pianificazione delle misure di sicurezza da adottare per il controllo dei dati aziendali.

I consulenti di Studio Scudo affiancano l’azienda cliente nella redazione di specifici registri delle attività di trattamento per titolari e responsabili del trattamento.

Analisi e valutazione dei rischi dei trattamenti effettuati

Il Regolamento UE 2016/679 – GDPR sottolinea l’importanza della responsabilizzazione del Titolare del trattamento.

Il titolare del trattamento deve adottare comportamenti che dimostrino la concreta attuazione di misure finalizzate ad assicurare la protezione dei dati personali e l’applicazione del Regolamento UE 2016/679 – GDPR.

L’analisi dei rischi dei trattamenti effettuati rappresenta una possibile risposta all’accountability richiesta dal Regolamento UE 2016/679 – GDPR.

La valutazione del rischio deve essere svolta prima di procedere al trattamento dei dati e richiede un’analisi accurata: il trattamento deve essere svolto applicando fin dall’inizio le garanzie indispensabili per la protezione dei dati personali (privacy by design)

Il titolare del trattamento deve valutare il rischio che i trattamenti di dati personali svolti in azienda possono avere sulla libertà e sui diritti degli interessati.

Il titolare del trattamento deve inoltre determinare quali misure di sicurezza applicare per proteggere i dati personali aziendali.

L’obiettivo è l’implementazione di un piano di gestione del rischio.

L’analisi e la valutazione dei trattamenti effettuati si svolge in diverse fasi:

  • individuazione della tipologia di dati personali e dei trattamenti effettuati in azienda;
  • identificazione delle minacce, dei potenziali danni e della relativa probabilità di accadimento;
  • attuazione delle misure di protezione da applicare e programmazione delle verifiche periodiche;
  • valutazione del rischio residuo.

Il piano di gestione del rischio deve essere integrato con i processi dell’organizzazione e reso aderente alle risorse e alla realtà aziendale specifica.

I consulenti privacy di Studio Scudo affiancano l’azienda cliente nell’analisi e nella valutazione dei rischi dei trattamenti effettuati.

DPIA (Data Protection Impact Assessment)  

Quando un tipo di trattamento, allorchè prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e la finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Il Regolamento UE 2016/679 – GDPR ha un approccio basato sull’analisi dei pericoli e sulla valutazione del rischio associato al trattamento.

La valutazione di impatto (D.P.I.A., cioè Data Protection Impact Assessment) è uno degli strumenti con il quale il titolare del trattamento garantisce trasparenza e protezione nelle operazioni di trattamento dei dati personali.

Il titolare del trattamento deve sviluppare una valutazione preventiva (quindi prima di iniziare il trattamento) delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati.

La valutazione di impatto viene svolta solamente per particolari trattamenti di dati personali, l’articolo 35 del Regolamento UE 2016/679 – GDPR, individua i trattamenti per i quali la DPIA è necessaria:

  • il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
  • il trattamento riguarda dati sensibili o giudiziari su larga scala;
  • il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

I consulenti di Studio Scudo affiancano l’azienda cliente nell’elaborazione della DPIA relativa ai trattamenti effettuati.

Incarico responsabile della protezione dei dati –  DPO (Data Protection Officer)

Il responsabile della protezione dei dati – DPO (Data Protection Officer) è una figura di garanzia designata per assicurare una piena conformità al Regolamento UE 2016/679 – GDPR.

Il responsabile della protezione dati – DPO (Data Protection Officer) è il professionista incaricato dal titolare del trattamento di sorvegliare l’osservanza del Regolamento UE 2016/679 – GDPR, delle disposizioni relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

La designazione del responsabile della protezione dei dati – DPO (Data Protection Officer) è necessaria nei seguenti casi:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’art. 39 del Regolamento UE 2016/679 – GDPR elenca i maggiori compiti del responsabile della protezione dei dati – DPO (Data Protection Officer):

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento UE 2016/679 – GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del Regolamento UE 2016/679 – GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Nell’eseguire i propri compiti il responsabile della protezione dei dati – DPO (Data Protection Officer) considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Il Regolamento UE 2016/679 – GDPR chiarisce le peculiarità dell’attività svolta dal responsabile della protezione dei dati – DPO (Data Protection Officer):

  • il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati – DPO (Data Protection Officer) sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
  • il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati – DPO (Data Protection Officer) nell’esecuzione dei suoi compiti fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
  • il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati – DPO (Data Protection Officer) non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati – DPO (Data Protection Officer) mantiene la propria autonomia operativa;
  • il responsabile della protezione dei dati – DPO (Data Protection Officer) non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati – DPO (Data Protection Officer) riferisce direttamente al vertice gerarchico dell’organizzazione;
  • gli interessati possono contattare il responsabile della protezione dei dati – DPO (Data Protection Officer) per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento UE 2016/679 – GDPR;
  • il responsabile della protezione dei dati – DPO (Data Protection Officer) è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità al diritto dell’Unione o degli Stati membri;
  • il responsabile della protezione dei dati – DPO (Data Protection Officer) può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi;
  • la normativa delinea le caratteristiche di questa figura, il responsabile della protezione deve essere scelto e designato in funzione delle sue qualità professionali, in particolare della conoscenza della normativa e delle prassi in materia di protezione dei dati.

Il responsabile della protezione dei dati – DPO (Data Protection Officer) è una figura professionale multidisciplinare, le sue competenze devono essere adeguate alla realtà aziendale nella quale presta la sua attività.

I consulenti privacy di Studio Scudo assumono l’incarico di responsabile della protezione dei dati – DPO (Data Protection Officer).

Assistenza per il mantenimento della compliance al GDPR (Programmazione e monitoraggio delle attività, gestione Data Breach…)

Il servizio di assistenza è rivolto alle aziende che si sono adeguate al Regolamento UE 2016/679 – GDPR e mira a mantenere aggiornato il sistema rispetto agli adeguamenti normativi ed a eventuali variazioni aziendali.

Il comma 1 dell’art. 24 del GDPR prevede che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

L’azienda deve prevedere delle azioni che consentano di monitorare il sistema di gestione dei processi di trattamento dei dati personali, individuando e identificando le non conformità e adottando azioni preventive, correttive e di miglioramento.

Tali azioni sono previste anche dalle normative relative ai Sistemi di Gestione ISO 9001, ISO 31000, ISO 27001 e ISO 27701; questi standard costituiscono un riferimento fondamentale per la costituzione di un Sistema di Gestione adeguato al mantenimento della compliance al Regolamento UE 2016/679 – GDPR.

Le attività prevedono:

  • consulenze per la progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali;
  • assistenza nell’adozione di misure e garanzie adeguate al contesto operativo;
  • monitoraggio delle procedure e aggiornamento del Sistema Privacy – GDPR in base alle modifiche interne aziendali o ai cambiamenti che la normativa, in continua evoluzione, renderà obbligatori;
  • aggiornamento delle lettere di incarico e delle informative;
  • programmazione di un piano di gestione dei Data Breach;
  • analisi e predisposizione incarichi ai soggetti (dipendenti/collaboratori) autorizzati a trattare i dati secondo indicazione del titolare del trattamento;
  • analisi e predisposizione lettera di nomina per nuovi responsabili esterni;
  • analisi e assistenza mirata in caso di cambiamenti della struttura informatica al fine di valutare le azioni strategiche per una gestione che punti alla protezione e alla valorizzazione dei dati;
  • analisi e assistenza mirata in caso di cambiamenti di software gestionali al fine di valutare le azioni strategiche per una gestione che punti alla protezione e alla valorizzazione dei dati;
  • aggiornamento dell’analisi dei rischi per quanto concerne il trattamento dei dati su archivi elettronici e cartacei;
  • aggiornamento delle misure idonee da adottare attraverso coordinamento con la software house e/o società di gestione della struttura informatica interna.

I professionisti di Studio Scudo assistono le aziende clienti per il mantenimento della compliance al Regolamento UE 2016/679 – GDPR.

Videosorveglianza

La videosorveglianza costituisce un trattamento di dati personali con un grado di invasività estremamente elevato.

Il titolare del trattamento deve fornire agli individui che possono essere ripresi indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza.

Il titolare del trattamento dei dati, ossia la persona fisica o giuridica che determina le finalità e le modalità di trattamento, è tenuto a fornire all’interessato una doppia informativa.

Gli interessati devono essere sempre informati prima dell’accesso ad una zona videosorvegliata.

Un cartello, che reca le informazioni più utili ed immediate per l’interessato, costituisce la prima informativa da fornire.

All’informativa minima segue l’informativa completa resa ai sensi del Regolamento UE 2016/679 – GDPR.

Devono essere rispettati i principi di pertinenza e di non eccedenza, raccogliendo e registrando le immagini strettamente necessarie e indispensabili, limitando l’angolo visuale delle riprese, evitando immagini dettagliate, ingrandite o dettagli non rilevanti, stabilendo il posizionamento delle telecamere, delle modalità di ripresa e le misure di sicurezza da adottare: la correttezza del trattamento deve essere predisposta dalla progettazione dell’impianto (privacy by design).

Il titolare del trattamento deve nominare le persone autorizzate che possono accedere ai dati trattati: il numero dei soggetti designati deve essere limitato e la visione delle immagini è consentita solo se indispensabile.

In caso di installazione di impianto di videosorveglianza in ambiente lavorativo è necessaria l’applicazione delle norme che disciplinano sia la materia relativa alla protezione dei dati personali, sia la materia di diritto del lavoro.

Se l’installazione di impianto di videosorveglianza è resa necessaria da esigenze organizzative o produttive, per la difesa del patrimonio aziendale ovvero è richiesta per la sicurezza del lavoro, occorre comunque rispettare il divieto di controllo a distanza del lavoratore.

Il datore di lavoro deve presentare apposita istanza alle autorità competenti (o raggiungere un accordo con il sindacato se presente) per ricevere l’autorizzazione all’installazione dell’impianto. Il titolare non può chiedere il consenso ai lavoratori per installare le telecamere.

Considerata l’invasività del trattamento, l’installazione di un impianto di videosorveglianza deve essere predisposta in modo adeguato, soprattutto in presenza di interessati appartenenti a categorie che necessitano di maggior tutela; si pensi a ospedali e luoghi di cura (monitoraggio dei pazienti ricoverati in particolari reparti e i dati relativi alla salute raccolti) o istituti scolastici (presenza di interessati minorenni), dove il trattamento deve essere limitato ai casi di comprovata indispensabilità.

I consulenti di Studio Scudo affiancano il cliente nella gestione degli adempimenti necessari all’installazione di impianto di videosorveglianza.

Studio Scudo si rivolge a datori di lavoro, installatori, amministratori di condominio e a tutti i titolari del trattamento interessati all’installazione di un impianto di videosorveglianza aziendale.

Attività di audit

L’Audit è uno strumento utile al titolare del trattamento dei dati per dimostrare la propria accountability e l’adeguamento al Regolamento UE 2016/679 – GDPR.

Le attività di audit permettono la verifica e il monitoraggio dei programmi di adeguamento alla normativa e il controllo dei sistemi aziendali di protezione dei dati.

L’audit si basa su attività di campionamento indirizzate ad ottenere evidenze obiettive, lo scopo è stabilire se e in quale misura gli obiettivi aziendali sono stati raggiunti.

L’audit è uno strumento che permette di:

  • verificare il grado di adeguamento aziendale al Regolamento UE 2016/679 – GDPR e il suo mantenimento;
  • verificare il grado di conformità delle procedure e delle misure di sicurezza adottate per la protezione dei dati personali;
  • accertare l’efficacia di azioni correttive attuate;
  • monitorare i programmi di adeguamento alla normativa.

Per garantire una valutazione oggettiva dei processi e per garantire l’assenza di interferenze che possono pregiudicare l’esito della valutazione, l’auditor non deve avere conflitti di interesse con l’azienda oggetto di verifica.

I consulenti di Studio Scudo svolgono attività di audit presso l’azienda cliente.

Formazione

Chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità, e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso.

Contatta Studio Scudo per una Consulenza

Analizzeremo insieme la situazione per proporti la migliore soluzione per la tua azienda.

Informativa al trattamento dei dati personali privacy policy



Acconsento al trattamento dei dati personali per l’iscrizione alla mailing list – newsletter con finalità di marketing diretto come specificato nella privacy policy