Loading...
GDPR2 2018-07-03T13:18:56+00:00

Il Regolamento UE 2016/679 in vigore dal 24 Maggio 2016

Il regolamento 2016/679 è entrato in vigore il 24 maggio 2016 e vedrà la sua totale e completa applicazione dal 25 maggio
2018.

È obbligatorio in tutti i suoi elementi e direttamente applicabile in tutti gli Stati membri (art. 99).
Interessa qualsiasi soggetto: aziende di ogni ordine e grado, enti pubblici e individui che debbano gestire, conservare, trasferire o trattare dati personali.

Si applica anche qualora il trattamento dei dati personali di cittadini UE venga effettuato in Stati extra­UE.
La Svizzera si è già adeguata. Dalla data di applicazione definitiva abroga la direttiva 95/46/CE (art. 94).

Finalità e obiettivi

In sintesi quanto richiesto dal regolamento GDPR

  1. Il regolamento obbliga le aziende a creare ed adottare una propria Privacy by Design
  2. Il regolamento obbliga le aziende a creare ed adottare una propria Privacy by Default
  3. Il regolamento introduce la figura del DPO (Data Protection Officer)

Privacy by Design

Il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e procedurali adeguate a garantire un livello di sicurezza idoneo al rischio e devono dimostrare che il trattamento dei dati è conforme al regolamento, assolvendo a principi di diligenza.

Tutto ciò richiede:

  • Una precisa analisi per valutare le singole realtà di partenza
  • Identificazione di adeguate strategie di intervento
  • Identificazione ed Attuazione dei correttivi necessari
  • Identificazione e creazione delle soluzioni complete

Privacy by Default

I titolari e i responsabili del trattamento dei dati devono mettere in atto misure tecniche e procedurali adeguate per garantire le necessarie misure di sicurezza.

Tutto ciò richiede che:

  • I dati personali siano limitati ad ogni specifica finalità del trattamento e per il tempo necessario al trattamento stesso, definendo di conseguenza il periodo di conservazione e l’accessibilità agli stessi
  • Obbligo di denuncia entro le 72 ore alle autorità competenti
  • Obbligo di indagine che comprende: la sorgente da cui è partita la violazione, le modalità di aggressione, il tipo di dati violati, i soggetti che sono stati coinvolti, ciò che l’Azienda attuerà al fine di evitare il ripetersi di questa tipologia di attacco
  • Obbligo di notifica a tutti i contatti i cui dati siano o possano essere stati violati

Le sanzioni previste

Sono state definite le SANZIONI AMMINISTRATIVE che verranno applicate qualora non siano stati predisposti e messi in atto i Project by Design e by Default.

Sanzioni fino a € 20.000.000 oppure fino al 4% del fatturato se superiore, in caso di violazione:

  • di principi relativi al trattamento e al consenso
  • di disposizioni relative ai diritti dell’interessato
  • di disposizioni in materia di trasferimento dati
  • di ordine di cessazione del trattamento

Sanzioni fino a € 10.000.000 oppure fino al 2%
del fatturato se superiore, per violazione:

  • di Notifica Data Breach alle Autorità competenti
  • di Notifica Data Breach agli Interessati

Le soluzioni Risk Solver

Risk Solver supporta Aziende, enti pubblici e professionisti in questo necessario passaggio di adeguamento al GDPR, introducendo soluzioni uniche ed innovative che si basano su :

Analisi del rischio dal punto di vista legale, informatico, assicurativo e reputazionale

►Utilizzo di strumenti tecnici di analisi, controllo e reportistica per assolvere alle richieste del Regolamento

►Definizione delle soluzioni AD HOC da adottare in funzione delle singole necessità (organizzative e tecniche)

Adeguamenti logistici, tecnici e formativi costituenti le misure richieste dalla normativa vigente

►Introduzione di strumenti di e-learning evoluti per gli utenti dei sistemi informativi aziendali

►Applicazione di meccanismi di certificazione dei processi

Il tutto con il supporto di esclusive soluzioni assicurative che garantiscono, in caso di Data Breach, supporto di tipo legale, informatico e reputazionale, così da contenere l’impatto economico conseguente agli effetti negativi di un attacco.

Il servizio di analisi legale effettua, tramite un pre-assessment, una puntuale verifica al fine di determinare l’effettivo posizionamento dell’azienda rispetto a quanto previsto dal Regolamento.
L’approfondita analisi tecnologica, consente un preciso calcolo dei rischi informatici dell’impresa rispetto a possibili attacchi e agli obblighi normativi.
La componente reputazionale, consente di definire e dimensionare questo rischio in funzione della tipologia dell’azienda e dei conseguenti rischi di   perdita di fatturato. Tutto ciò permette di definire un benchmark di riferimento di partenza e concordare con l’Azienda gli obiettivi da raggiungere.

Le soluzioni tecnologiche forniscono una continua valutazione, controllo e reportistiche del rischio informatico.

Le funzionalità, costantemente adeguate, aggiornate ed ulteriormente implementabili su richiesta del cliente, già oggi garantiscono:

  • Analisi e monitoraggio delle attività sul mondo web (rischi esterni)
  • Verifica della presenza di duplicazioni di dati personali in azienda (rischio interno)
  • Analisi delle abitudini comportamentali degli utenti
  • Rilevamento di attività sospette (attacchi, comportamenti anomali di utenti, sistemi infetti)
  • Pannello di controllo e alert, reportistica periodica relativamente ad anomalie della rete aziendale

Grazie a questi strumenti l’Azienda avrà consapevolezza dei rischi della propria rete, possibilità di verificare e dimostrare l’efficacia delle
misure tecniche adottate per la protezione dei dati personali.

Le soluzioni assicurative, esclusive ed articolate, vengono create AD HOC sulla base dei pre-assessments legali, informatici e reputazionali, effettuati

in partenza e dei successivi adeguamenti e adattamenti, in funzione della tipologia di rischio dell’Azienda Cliente.

Le soluzioni assicurative garantite da Risk Solver permettono di proteggere il patrimonio aziendale grazie alle sue innovative coperture, che coprono specificatamente:

  • Spese legali
  • Spese di indagine
  • Spese per il recupero dell’immagine
  • Risarcitorie: danni verso terzi
  • Indennizzanti : fermo attività, ripristino sistemi, recupero/ricostruzione dati, e così via

Innovativi servizi di e-learning e di e-testing basati su piattaforme sviluppate AD-HOC per rendere più fruibile il servizio e più efficace la formazione.

Il nostro obiettivo è di rendere accessibile l’apprendimento grazie a tecnologie di e-learning altamente avanzate che si basano su Learning Management System di ultima generazione.

  • Contenuti multimediali interattivi
  • Sistema di certificazione delle competenze
  • Percorsi didattici in base al livello di apprendimento
  • Istruzione dei collaboratori su procedure e processi aziendali

l’utilizzo del protocollo SCORM (Shareable Content Object Reference Model) permette di certificare la formazione

Il DPO non è una novità assoluta nel panorama legislativo europeo, tuttavia con il Regolamento 679/2016 diventa una figura fondamentale per l’azienda per tutte le scelte relative all’organizzazione aziendale e agli strumenti tecnici, relativamente al Trattamento dei dati. Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati e con competenze tecniche.
I dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicatiall’autorità di controllo competente.

Il DPO può essere un dipendente del titolare del trattamento dei dati oppure può essere un libero Professionista, esterno e autonomo, ingaggiato in base a un contratto di servizio.

In qualunque caso il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.

L’adesione ad uno schema di certificazione accreditato è rivolta a tutte le aziende che trattano dati personali.

I meccanismi di certificazione forniscono i principi e le linee di controllo per una completa valutazione della conformità dei processi interni all’organizzazione in merito alla protezione dei dati personali, tenendo in particolare considerazione la gestione dei rischi.
Essi definiscono i controlli di sicurezza perchè i dati rispettino sempre i requisiti di esattezza, accuratezza, attualità, coerenza, completezza, credibilità e aggiornamento, richiesti dal regolamento.

È necessario scegliere uno schema applicabile a qualsiasi Titolare del trattamento, qualunque sia il settore di appartenenza, che si adatti al tipo di trattamento realizzato e che risponda ai requisiti previsti dal GDPR nella sua applicazione in tutti gli Stati membri.
Deve inoltre essere adeguato agli eventuali criteri integrativi di cui agli artt. 42 e 43 del Reg. 679/2016, quando questi verranno rilasciati dal comitato o dall’autorità nazionale competente ai sensi degli artt. 55 e 56, essendo ancora in fase di definizione.

Scarica la presentazione
Scarica il Regolamento 679/2016