studio tarantelli, consulenza informatica, SEO e reti informatiche

Studio Tarantelli > Servizi > Adeguamento Privacy

Adeguamento informatico ed organizzativo Privacy GDPR

Adeguamento informatico ed organizzativo Privacy GDPR

In questi ultimi anni si è parlato spesso di Privacy e del cosiddetto GDPR (General Data Protection Regulation) che identifica il nuovo Regolamento Europeo 2016/679 a cui tutti gli enti e le aziende dovrebbero ad oggi essere adeguati e conformi.

Purtroppo il concetto di adeguamento al GDPR ha creato molta confusione nonostante molte associazioni ed enti preposti hanno realizzato dei corsi formativi con lo scopo di informare sia i dipendenti pubblici che le aziende private sull’importanza dei dati personali e su come trattarli e gestirli correttamente.

La complessità tecnica ed organizzativa per l’adeguamento, basato appunto sulle norme contenute nel "corposo" Regolamento il quale richiede molteplici professionalità, ha complicato non poco le procedure per le imprese che spesso si sono rivolte a professionisti che hanno pensato quasi esclusivamente alle informative e non ad una presa di responsabilità di cosa è il GDPR e su come la conformità a quest’ultimo andrebbe implementata.

Lo Studio Tarantelli ha da sempre avuto a cuore la sicurezza dei dati aziendali, personali e non, ed ha pertanto continuamente promosso un corretto utilizzo degli strumenti informatici volti alla semplificazione delle attività lavorative, al corretto backup, alla sicurezza informatica, etc.


I problemi più frequenti

Oggi però l’utilizzo degli strumenti informatici deve essere calibrato anche rispetto al trattamento dei dati personali per questo, negli ultimi anni, molte aziende hanno riscontrato diverse problematiche organizzative legate anche alla conformità sulla normativa Privacy. Per maggiore chiarezza di seguito ne vengono esposte solo le principali frutto dell’esperienza maturata sul campo:

  1. mancanza della consapevolezza dei rischi e delle sanzioni da parte delle ditte individuali e PMI;
  2. in tutti i casi si è notato che i backup dei dati risultavano parziali, incompleti, non sincronizzati e non aggiornati tanto da essere esposti ad eventuali attacchi o che in caso di data breach non permettevano un ripristino corretto;
  3. gestione errata delle credenziali di accesso a posta elettronica, banca online, servizi in cloud, etc.
  4. mancanza di crittografia di PC, unità esterne di backup, etc.
  5. mancanza di regole nell’accesso ai dati informatici tra i reparti, ovvero chiunque poteva consultare i dati anche di altri reparti;
  6. acquisizione e trattamenti eseguiti in maniera errata, con procedure di profilazione ed e-mail marketing non conformi;
  7. informative "scopiazzate" (se presenti) che non tenevano conto delle basi giuridiche e delle possibili problematiche dei vari servizi offerti dalla singola azienda;
  8. Registro dei trattamenti inesistente;
  9. Formazione del personale inesistente con mancanza di consapevolezza di quando è necessario eseguire un trattamento, ovvero di come andrebbe trattato, gestito e conservato un dato personale e quando stabilire la sua distruzione al termine del suo ciclo di vita;

Le problematiche sopra elencate sono solo le principali, ma ogni impresa ha diverse metodologie operative e modalità lavorative che vanno analizzate caso per caso.


Non basta avere le sole informative per essere conforme

L’esperienza di questi ultimi anni ha portato a constatare che nonostante molte aziende si sono rivolte in passato a consulenti Privacy, la loro operatività non risulta ancora corretta, questo perché non basta avere la mera documentazione cartacea (magari qualche anno prima) per essere conformi al GDPR, ma occorre un constante e continuo controllo della propria organizzazione, specialmente di tutta la sezione informatica sia hardware che software.

E’ auspicabile e fondamentale eseguire una verifica periodica (annuale) per aggiornare ogni aspetto del GDPR, domandarsi se tutti i trattamenti di dati personali sono necessari, se il tempo di conservazione degli archivi è corretto e la documentazione Privacy tanga conto anche dell’implementazione di nuove soluzioni informatiche inserite di recente (o aggiornate) in azienda. E’ noto che con l’avvento delle nuove tecnologie è possibile ottimizzare tempi e costi, quindi si ha un risparmio economico oltre che organizzativo. Pertanto l’adeguamento Privacy non deve essere visto solo come un ulteriore costo, ma come un modus operandi atto all’ottimizzazione aziendale.

Inoltre molte aziende dichiarano di non conoscere minimamente i documenti che hanno firmato a suo tempo e non sono a conoscenza delle corrette procedure operative di nomina dei responsabili esterni o come comportarsi in caso di eventuali data breach, disaster recovery, etc.


Cosa fa lo Studio Tarantelli

La conformità al GDPR corrisponde dunque ad un modello organizzativo complesso che racchiude una parte dedicata al trattamento dei dati, che si ricorda deve essere lecito, corretto e trasparente, cercando di minimizzarne il contenuto e limitandolo alle sole finalità determinate e legittime all’adempimento da espletare (esempio: vendita di prodotto o servizio). Ma questo non basta, perché è necessario avere cura di questi dati rispettandone l’integrità, riservatezza, riducendone la conservazione nel tempo ed in caso di richiesta espressa dell’interessato fornire tutte le informazioni che sono state acquisite nel corso dell’incarico o vendita di prodotto e/o servizio nei tempi e modi previsti dal Regolamento Europeo.

Ogni impresa, dal libero professionista o ditta individuale, alle PMI fino alle S.p.A. ha esigenze diverse e necessita di una attenta analisi e valutazione sia dell’hardware che del software in dotazione, compreso il sito web, così da implementare la migliore soluzione minimizzando i costi ed ottimizzando il lavoro del personale di riferimento.

Lo Studio Tarantelli esegue consulenze mirate a colmare tutte le lacune tecniche informatiche ed a risolvere ogni problematica su backup, business continuity, sicurezza dei dati ed a creare modelli organizzativi e procedurali corretti all’adeguamento Privacy previsto nel GDPR.

A partire dal 2021 lo Studio Tarantelli ha eseguito una partnership con due professionisti legali: il primo è un consulente specializzato in Adeguamento Privacy ed il secondo è un DPO (Data Protection Officier).

Il consulente Privacy provvede a curare tutto il processo di adeguamento organizzativo e documentale al GDPR, lavorando a stretto contatto e fin da subito con lo Studio Tarantelli per procedere alla conformità tecnica e procedurale.

Il DPO è una figura professionale che in taluni casi è da nominare obbligatoriamente e che opzionalmente le aziende possono richiedere per controllare, vigilare ed interfacciarsi sia con il Garante della Privacy che anche e soprattutto con il titolare e responsabile dei trattamenti.

L’obiettivo di questa partnership è quella di offrire a tutti i clienti di un team composto da diverse professionalità che possa in ciascuna parte curare tutti gli aspetti tecnici informatici, procedurali e legali del GDPR, partendo dall’analisi ed adeguamento Privacy al monitoraggio delle attività, alla risoluzione di problematiche, comunicazione e formazione del personale, monitoraggio, etc.


Attività per l’adeguamento Privacy

Le attività di adeguamento iniziano con la valutazione dell’organizzazione della società e con il censimento dei trattamenti di dati personali da mettere in relazione le mancanze di conformità rispetto a quanto prescritto dal GDPR (Gap Analysis).

Ciò è utile per delineare le non conformità presenti a cui segue un piano di intervento (action plan) volto alla risoluzione di tali problematiche sia di carattere tecnico informatico che documentale ed organizzativo.

L’adeguamento al GDPR permette di valutare l’impatto nel trattamento dei dati, il cosiddetto Data Protection Impact Assessment (DPIA) in particolari casi come la videosorveglianza effettuata a certe condizioni, geolocalizzazione e la profilazione, al fine di verificare gli effettivi rischi che si corrono nel trattamento dei dati che vengono utilizzati in azienda ma soprattutto per stabilire se ciò è legittimato dalla legge.

In quest’ottica si predisporrà nel corso dell’adeguamento una gestione preventiva del rischio che viene identificata da una probabilità con relativa gravità a seconda del campo di applicazione, del contesto di applicazione e delle finalità.

Mentre lo Studio Tarantelli si occupa prettamente della parte tecnica informatica e della sicurezza, il consulente Privacy si dedica a tutti quegli aspetti organizzativi e documentali, necessari a definire i rischi e ad implementare le corrette misure di correzione.

Durante queste consulenze sia lo Studio Tarantelli che il consulente Privacy ciascuno per la propria parte di competenza illustra ciò che viene fatto e perché, così da rendere edotto il personale e non solo. Infatti è importante dedicare qualche ora anche alla formazione per far comprendere come vanno trattati i dati e quale è la filiera da rispettare partendo dall’acquisizione dei dati, passando per il trattamento, conservazione fino alla distruzione.

Una volta completato l’adeguamento è necessario eseguire delle verifiche almeno annuali, così da confrontare lo stato di fatto sia informatico che organizzativo ed attuare le opportune modifiche tecniche e documentali. Così facendo si ha un controllo conforme sulla sicurezza ed un giusto trattamento dei dati.


Perché è importante adeguarsi

Al di là delle sanzioni che sono dipendenti dalla gravità e durata, ma anche in base all’entità del danno cagionato, alla volontarietà e consapevolezza, etc. è importante adeguare la propria azienda al GDPR per tutelare i propri dati e quelli dei propri clienti.

Una procedura organizzativa e tecnica conforme permette di snellire il lavoro in azienda, mette in sicurezza tutti gli apparati hardware e software in dotazione e rende consapevoli delle attività svolte oltre a ridurre la quantità di dati acquisiti e capire come comportarsi negli eventuali casi come violazioni, perdita di dati, richieste dell’interessati, etc.

Non aspettare che qualcosa accada, come dice il detto: "prevenire è meglio che curare"!


Hai bisogno della nostra consulenza?