Adeguamento Privacy

Adeguamento Privacy: quando un consulente esperto vale più dell’oro

Sin dalla fine degli anni Novanta nel nostro Studio prestiamo assistenza e consulenza legale in materia di tutela dei dati personali. Lo facciamo da molto prima dell’introduzione del GDPR (2016).

I nostri servizi spaziano dall’adeguamento della struttura organizzativa alla normativa privacy, all’assistenza in caso di contenzioso sia di fronte all’Autorità Garante che di fronte ai Tribunali.

Con l’entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali (EU) 2016/679, la tutela dei dati personali ha infatti assunto una portata di maggiore rilievo e una maggiore complessità.

Il Codice Privacy (D. Lgs. 196/2003) elencava sistematicamente le misure da adottare per un corretto trattamento, mentre il GDPR enuncia esclusivamente i principi a cui il Titolare del trattamento dovrà ispirarsi, per poi trovare autonomamente le soluzioni migliori per garantire la massima protezione possibile.
Si tratta di uno sforzo non indifferente e soprattutto che richiede un intervento personalizzato, in quanto ogni azienda ha le proprie esigenze e peculiarità. Pertanto, solo a seguito di un esame della situazione concreta si potranno trovare le soluzioni più adatte, con l’intento di adattare la realtà aziendale alle prescrizioni normative.

Prima di tutto la Formazione Privacy

Il GDPR riconosce un’importanza fondamentale alla formazione di chi tratta dati personali, perché solo conoscendo la materia è possibile attuare comportamenti corretti e reagire consapevolmente in caso di emergenze.

I corsi di formazione rappresentano quindi una vera misura di sicurezza per il corretto trattamento dei dati.
In Studio Turini abbiamo maturato una grande esperienza nell’organizzazione e nell’erogazione di corsi di formazione sul tema della Privacy. Tutti i nostri moduli formativi vengono impostati in base alle esigenze del cliente e sono rivolti a tutte le categorie professionali, dai dirigenti ai liberi professionisti. Inclusi percorsi mirati per le diverse figure del personale aziendale, con possibilità di stabilire le modalità di erogazione dei corsi e i momenti di verifica delle conoscenze.

Da anni assistiamo i nostri clienti anche nel campo della privacy e data protection

Il GDPR impone un’accurata organizzazione aziendale

Il GDPR impone l’adozione di tutte le misure necessarie ad assicurare la compliance al Regolamento.

Ogni azienda ha le proprie dinamiche organizzative e strutturali – non sempre queste si dimostrano all’altezza nel garantire adeguata tutela rispetto ai dati personali trattati.

In Studio Turini garantiamo assistenza e competenza per affrontare al meglio ogni fase dell’Adeguamento Privacy, dall’analisi dello stato attuale fino alla redazione di tutti i documenti (tipologia dei dati trattati, titolari del trattamento, procedure di anonimizzazione adottate, etc), volti alla corretta gestione privacy. 

Curiamo ogni aspetto dell’adeguamento privacy aziendale, incluse la predisposizione delle informative per ogni trattamento effettuato e la redazione dei contratti con i Responsabili del trattamento. Inoltre eseguiamo tutte le attività di verifica della corretta implementazione delle misure adottate tramite specifici audit.

L’obiettivo è coniugare gli adempimenti imposti dalla normativa europea con le specificità di ciascun  modello aziendale.

La protezione dei dati non è un procedimento statico, ma dinamico, per cui ogni realtà deve necessariamente adeguare i suoi processi di gestione Privacy a tutti quei cambiamenti introdotti nella struttura aziendale che coinvolgono dati personali.

Infatti, il trattamento dei dati personali riguarda l’intera organizzazione del titolare. Perché si interseca con ogni segmento dell’attività e con tutti gli strumenti, soprattutto informatici, che vengono utilizzati.

L’adeguamento al GDPR di siti Internet

Il sito Internet è la vetrina dell’attività d’impresa del titolare, il biglietto da visita per antonomasia, ma anche un importante veicolo di informazioni e di dati personali.

Il Garante per la Protezione dei Dati Personali negli anni si è espresso diverse volte sul trattamento dei dati in Internet. Ad ogni evoluzione delle tecnologie segue una pronuncia sulla conformità al GDPR dei nuovi strumenti informatici. 

I contenuti dei provvedimenti del Garante si evolvono così come si evolvono i mezzi con cui possono essere trattati i dati personali. Ad esempio, nel corso degli anni il Garante si è espresso più volte in  materia di cookie, ridefinendo gli obblighi per l’uso di cookie collegati ai siti web.

Il sito aziendale deve quindi essere sottoposto a un’attenta analisi in base alla sua funzione.

Touchpoints: i punti di contatto attraverso cui un sito raccoglie informazioni

Ogni scelta intrapresa dal titolare di un sito web deve essere valutata dal punto di vista tecnico, commerciale e anche giuridico, prestando attenzione a realizzarla in conformità con la normativa europea sulla privacy.

Basti pensare a un semplice form di iscrizione ad una newsletter o a un modulo di contatto nella sezione “lavora con noi” di un sito web, tramite la quale i candidati possono inviare il proprio curriculum vitae. Si tratta di strumenti di raccolta dei dati che necessitano di un’adeguata Informativa Privacy, che può essere resa solo dopo avere esaminato il flusso delle informazioni, gli usi che ne vengono fatti, le modalità e i tempi di conservazione. 

Inoltre, anche un semplice sito internet informativo, se raccoglie o tratta dati personali, deve essere conforme alla normativa in materia di privacy.

Purtroppo spesso si pensa che, per essere privacy compliant, sia sufficiente pubblicare sul proprio sito un’informativa privacy copiata da altri e semplicemente “riadattata”. Le operazioni di copia/incolla da altri siti non sono però affatto sufficienti e, anzi, potrebbero addirittura esporre il titolare a un serio rischio di contestazioni o sanzioni.L’Adeguamento Privacy di un sito web, così come la redazione della relativa informativa privacy, richiede sempre delle valutazioni approfondite. Solo un professionista esperto della materiapuò indicare e realizzare le soluzioni adeguate allo specifico caso.

App a misura di GDPR

Lo sviluppo delle applicazioni mobile (App) coinvolge sempre il trattamento di dati personali.

Non solo le App richiedono dati personali ai propri utenti, ma spesso il trattamento avviene in modo diffuso a causa della stretta interazione dell’applicazione con il sistema operativo, che consente di accedere a un numero maggiore di dati rispetto a un browser tradizionale. 

Le applicazioni sono in grado di raccogliere grandi quantità di dati dal dispositivo dell’utente e di elaborarli per fornire servizi nuovi e innovativi.

Occorre quindi impostare fin da subito un corretto trattamento dei dati personali, seguendo i principi della privacy by design e by default. Il GDPR richiede infatti che i dati vengano protetti fin dal momento della progettazione di un nuovo prodotto o servizio e per impostazione predefinita.

Ci deve sempre essere un comportamento proattivo del titolare del trattamento nel determinare le misure tecniche e organizzative da porre in essere per garantire adeguata tutela ai dati personali.

Noi assistiamo il cliente fin dalla fase preliminare di “progettazione”, perché è fondamentale valutare da subito i rischi che il trattamento comporta e stabilire le misure necessarie da adottare al fine di dare concreta attuazione alle disposizioni e ai principi in materia di protezione dei dati. 

Dopo un’analisi preliminare, assistiamo il cliente nella predisposizione di tutti i documenti di gestione e di tutte le informative necessarie per poter immettere sul mercato l’App in modo sicuro e senza ledere i diritti degli interessati.

La Consulenza Privacy è essenziale per ogni azienda

In definitiva, la consulenza in materia di privacy è indispensabile per ogni impresa ogni qualvolta l’azienda si trovi a dover affrontare una contestazione, una verifica del Garante della Privacy o, peggio ancora, un’azione legale promossa da un soggetto che ritiene di avere subito una lesione dei suoi diritti.

In tutti questi casi, è necessario rivolgersi a un professionista esperto in materia di trattamento dei dati personali per ottenere le giuste indicazioni ed evitare di compromettere irrimediabilmente la propria posizione.

La consulenza però è ancora più importante in via preventiva, per evitare di subire azioni o contestazioni che possono costare molto caro.

Ogni scelta che ha ad oggetto il trattamento dei dati personali deve essere ben ponderata e valutata alla luce dei principi fondamentali sanciti dal Regolamento UE 679/2016 di minimizzazione, limitazione, liceità, correttezza, trasparenza, esattezza, integrità e riservatezza.

Anche dopo l’adeguamento di tutta l’organizzazione, l’utilizzo di nuove tecnologie o l’individuazione di un nuovo trattamento possono richiedere una nuova analisi delle misure adottate o da adottare. Esperienza e competenza ci permettono di assistere il cliente per ogni necessità e di affiancarlo in ogni decisione da assumere tutte le volte che sono coinvolti dati personali.

Offriamo la nostra consulenza:

  • nella fase preliminare di valutazione di un progetto;
  • nell’adeguamento privacy dell’intera azienda;
  • nell’adeguamento privacy di un singolo processo;
  • per l’esame di situazioni specifiche o per la risoluzione di particolari criticità.

Diamo supporto legale e difesa in caso di azioni amministrative, quali il Reclamo al Garante della Privacy o la difesa del cliente nell’ambito di eventuali istruttorie avviate dal Garante.

Assistiamo i clienti anche nei procedimenti giudiziari, sia in senso attivo – quali promotori di azioni nei confronti di terzi, sia in fase difensiva – qualora sia necessario resistere a una contestazione o a una richiesta risarcitoria.

Audit Privacy? Non sono solo una formalità

È opportuno programmare sistematicamente degli “audit”, allo scopo di verificare e poter dimostrare all’Autorità di Controllo che la struttura organizzativa esegue un processo di monitoraggio costante delle procedure adottate, dei cambiamenti interni e dell’evoluzione tecnologica.

La programmazione degli audit, oltre a rilevare nella gestione dei dati personali, rileva anche ai fini della legge sulla responsabilità amministrativa degli enti.

L’attività di revisione, comprese le ispezioni, può essere effettuata dallo stesso titolare. Molto più spesso è opportuno affidarla ad un professionista esterno, che conosca bene la normativa in materia di trattamento dei dati personali e che valuti con oggettivo distacco le procedure interne.

La verifica delle misure adottate investe sia l’organizzazione interna dell’azienda (audit interno) sia quella dei professionisti esterni che svolgono il ruolo di Responsabili del Trattamento (audit esterni).

L’Audit interno è svolto all’interno dell’organizzazione e fa parte del sistema dei suoi controlli interni. È uno degli strumenti utili per controllare il corretto svolgimento delle attività e verificare che la procedure siano seguite e si dimostrino adeguate.

Gli Audit esterni vengono invece svolti fuori dall’azienda, cioè presso i terzi ai quali è stata delegata una parte del trattamento, e possono essere di due tipi.

Un primo tipo sono gli Audit che vengono svolti prima che si instauri un rapporto con l’azienda per la fornitura del servizio, e sono quelli più rigidi.

Infatti, prima di scegliere un fornitore che dovrà trattare dati per nostro conto, è necessario valutare che soddisfi i requisiti e le garanzie previsti dal GDPR, sia per tutelare i propri dati e quelli dei soggetti che si rivolgono a noi, sia per non incorrere in sanzioni.

Un secondo tipo di Audit sono quelli successivi al conferimento dell’incarico e hanno lo scopo di verificare il corretto adempimento delle istruzioni riportate nel contratto di disciplina nonché il costante rispetto della normativa in materia di privacy.

Al termine degli Audit si stabilisce la “conformità” o “non conformità” del trattamento concreto rispetto al modello organizzativo impostato. Quindi possono essere fornite indicazioni per ristabilire il migliore livello di adeguamento possibile.

Adeguamento privacy e fac-simile: no, grazie!

Troppo spesso l’adeguamento privacy viene minimizzato e affrontato superficialmente con l’utilizzo di fac-simile o modelli preimpostati.

Da quello che abbiamo appena visto risulta chiaro che la privacy non si può “standardizzare”. Ogni adeguamento è diverso dall’altro, per cui ogni azienda verrà seguita direttamente e individualmente da Studio Turini al fine di realizzare un adeguamento “su misura”, l’unico valido.

Contattaci

    Lo Studio Brevetti Turini s.r.l. dispone un Software specialistico nella gestione di portafogli brevetti, marchi, design e copyright. “Progetto Software Battista” - Progetto finanziato nel quadro del POR FESR Toscana 2014-2020

    PORCreO Regione Toscana