Premessa

L’adeguamento di una organizzazione complessa quale è uno studio di professionale o un'azienda alle nuove disposizioni previste dal Regolamento Ue 2016/679, meglio noto come GDPR (General Data Protection Regulation) in tema di sicurezza e protezione dei dati personali, richiede una attenta analisi dei dati trattati, delle procedure tecniche ed organizzative utilizzate per il loro trattamento ed una altrettanto attenta valutazione dei rischi di diffusione, alterazione o distruzione a cui essi sono soggetti.
Ottemperare ai dettati del GDPR significa, dunque, porre in essere una serie di misure tecniche ed organizzative tali da garantire l’integrità, la riservatezza e l’accessibilità dei dati trattati, individuare, all’interno dell’organizzazione dello Studio/Azienda, i soggetti autorizzati al trattamento dei dati e fornire – mediante apposita e specifica formazione – a questi ultimi le nozioni necessarie ad attuare le norme comportamentali e le misure di sicurezza necessarie per il corretto trattamento dei dati stessi.

Occorre inoltre far sì che i soggetti interessati (ovvero le persone fisiche a cui appartengono i dati personali oggetto del trattamento) siano correttamente informate della natura e della durata del trattamento stesso e resi edotti dei diritti  a loro garanti dal Regolamento in questione.

All’interno di uno Studio Professionale / Azienda, vengono trattati una notevole quantità di dati personali relativi a diverse categorie di soggetti: clienti, fornitori, dipendenti e collaboratori. Questo richiede una attenta analisi del'organizzazione e, conseguentemente, una accurata pianificazione delle misure di sicurezza tecniche ed organizzative.

Sulla base di tali premesse e della conoscenza che lo Studio acquisisce relativamente all'organizzazione dei propri clienti, viene redatta un'offerta mirata e circostanziate per l'erogazione dei servizi necessari a rendere il cliente compliant con le disposizioni della normativa vigente.

Ulteriori potranno essere essere integrate in qualsiasi momento successivo con azioni ed interventi da concordar e di volta in volta

 

Descrizione dei Servizi offerti per l'adeguamento al GDPR

Attività di analisi e ricognizione

-          Esame dell’attività dello Studio / Azienda ed individuazione dei dati personali oggetto di trattamento;

-          Individuazione della presenza di dati di cui all’art. 9 del GDPR

-          Esame dell’organigramma di studio / azienda  ed individuazione del Titolare, del / dei Responsabili e dei soggetti autorizzati al trattamento

-          Individuazione di eventuali soggetti esterni all’organigramma dello studio / azienda a cui viene demandato il trattamento dei dati

-          Esame delle misure fisiche, logiche e tecniche poste a protezione dei dati

-          Individuazione di eventuali trattamenti di dati relativi a minori;

-          Individuazione di eventuali trattamenti di dati biometrici;

-          Individuazione di eventuali trattamenti di dati mediante sistemi di videosorveglianza;

-          Individuazione di eventuali trasferimenti di dati all’estero

-          DPIA – Valutazione di Impatto per i trattamenti effettuati

-          Esame dei consensi al trattamento dei dati eventualmente già raccolti

 

Attività di adeguamento al GDPR

Misure Amministrative ed organizzative

-          Compilazione del Registro dei Trattamenti;

-          Compilazione del Registro dei Consensi (ove necessario);

-          Indicazione delle misure fisiche da attuare per la corretta protezione dei dati;

-          Indicazione delle misure organizzative da attuare per la corretta protezione dei dati;

-          Predisposizione dei documenti di nomina del/dei Responsabili del Trattamento dei dati e dei soggetti autorizzati;

-          Predisposizione della modulistica necessaria per l’eventuale nomina di soggetti autorizzati al trattamento dei dati, esterni all’organizzazione dello studio;

-          Predisposizione della modulistica atta a fornire agli interessati le informative del caso;

-          Predisposizione della modulistica atta a raccogliere i consensi al trattamento dei dati da parte degli interessati;

-          Revisione della modulistica contrattuale per l’integrazione con quanto previsto dal disposto del GDPR;

-          Per tutti i trattamenti: individuazione del termine del trattamento ed indicazione delle modalità operative da attuare al termine del trattamento stesso;

 

Misure Tecniche

-          Indicazione delle misure tecniche ed organizzative da attuare per la corretta protezione dei dati;

-          Supporto e consulenza per l'adeguamento della piattaforma software utilizzate ai requisiti di Privacy by Design e Privacy by Default compliance previsti dal GDPR;

-          Adeguamento delle credenziali di accesso accessi nominativi) alle procedure e supporto all’impostazione (ove possibile) di password adeguatamente robuste ed a scadenza periodica;

-          Tenuta dei registri degli accessi alle procedure in forma anonimizzata e conservati in forma elettronica sostitutiva;

 

Formazione dei soggetti autorizzati

-          Erogazione di un corso di formazione della durata di 4 (quattro) ore presso l'organizzazione del cliente (fruibile anche on-line)  per l’istruzione dei soggetti autorizzati al trattamento dei dati, del Titolare e del / dei Responsabile/i del Trattamento per un totale di 9 (nove) unità su quanto previsto dal GDPR in tema di norme comportamentali da tenere nel trattamento dei dati personali tanto in forma cartacea che attraverso strumenti elettronici, sui diritti degli interessati e sulle sanzioni previste per i trasgressori.

Lo svolgimento delle attività anzidette viene documentato mediante la redazione di appositi rapportini e/o relazioni recanti i risultati del lavoro svolto e che saranno di volta in volta sottoposti al Management del Cliente per l’approvazione e le considerazioni del caso.