Loading...
GDPR 2017-06-04T19:01:06+00:00

Il Regolamento UE 2016/679 in vigore dal 24 Maggio 2016

Il regolamento 2016/679 è entrato in vigore il 24 maggio 2016 e vedrà la sua totale e completa applicazione dal 25 maggio
2018.

È obbligatorio in tutti i suoi elementi e direttamente applicabile in tutti gli Stati membri (art. 99).
Interessa qualsiasi soggetto: aziende di ogni ordine e grado, enti pubblici e individui che debbano gestire, conservare, trasferire o trattare dati personali.

Si applica anche qualora il trattamento dei dati personali di cittadini UE venga effettuato in Stati extra­UE.
La Svizzera si è già adeguata. Dalla data di applicazione definitiva abroga la direttiva 95/46/CE (art. 94).

Finalità e obiettivi

In sintesi quanto richiesto dal regolamento GDPR

  1. Il regolamento obbliga le aziende a creare ed adottare una propria Privacy by Design
  2. Il regolamento obbliga le aziende a creare ed adottare una propria Privacy by Default
  3. Il regolamento introduce la figura del DPO (Data Protection Officer)

Privacy by Design

Il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e procedurali adeguate a garantire un livello di sicurezza idoneo al rischio e devono dimostrare che il trattamento dei dati è conforme al regolamento, assolvendo a principi di diligenza.

Tutto ciò richiede:

  • Una precisa analisi per valutare le singole realtà di partenza
  • Identificazione di adeguate strategie di intervento
  • Identificazione ed Attuazione dei correttivi necessari
  • Identificazione e creazione delle soluzioni complete

Privacy by Default

I titolari e i responsabili del trattamento dei dati devono mettere in atto misure tecniche e procedurali adeguate per garantire le necessarie misure di sicurezza.

Tutto ciò richiede che:

  • I dati personali siano limitati ad ogni specifica finalità del trattamento e per il tempo necessario al trattamento stesso, definendo di conseguenza il periodo di conservazione e l’accessibilità agli stessi
  • Obbligo di denuncia entro le 72 ore alle autorità competenti
  • Obbligo di indagine che comprende: la sorgente da cui è partita la violazione, le modalità di aggressione, il tipo di dati violati, i soggetti che sono stati coinvolti, ciò che l’Azienda attuerà al fine di evitare il ripetersi di questa tipologia di attacco
  • Obbligo di notifica a tutti i contatti i cui dati siano o possano essere stati violati

Le sanzioni previste

Sono state definite le SANZIONI AMMINISTRATIVE che verranno applicate qualora non siano stati predisposti e messi in atto i Project by Design e by Default.

Sanzioni fino a € 20.000.000 oppure fino al 4% del fatturato se superiore, in caso di violazione:

  • di principi relativi al trattamento e al consenso
  • di disposizioni relative ai diritti dell’interessato
  • di disposizioni in materia di trasferimento dati
  • di ordine di cessazione del trattamento

Sanzioni fino a € 10.000.000 oppure fino al 2%
del fatturato se superiore, per violazione:

  • di Notifica Data Breach alle Autorità competenti
  • di Notifica Data Breach agli Interessati

Le soluzioni Risk Solver

Risk Solver supporta Aziende, enti pubblici e professionisti in questo necessario passaggio di adeguamento al GDPR, introducendo soluzioni uniche ed innovative:

  • Analisi del rischio dal punto di vista legale, informatico e reputazionale
  • Definizione della soluzione AD HOC da adottare in funzione delle singole necessità
  • Utilizzo di strumenti tecnici di analisi, controllo e reportistica per assolvere alle richieste del regolamento

Prossimi STEP

  • Applicazione di meccanismi di certificazione dei processi
  • Introduzione di strumenti di e-learning evoluta per gli utenti dei sistemi informativi aziendali

Il tutto con il supporto di esclusive soluzioni assicurative che garantiscono, in caso di Data Breach, supporto di tipo legale, informatico e reputazionale, così da contenere l’impatto economico conseguente agli effetti negativi di un attacco.

Il Servizio di analisi legale effettua, tramite un pre-assessment documentale, una puntuale verifica al fine di determinare l’effettivo posizionamento dell’azienda rispetto a quanto previsto dal regolamento.
L’approfondita analisi tecnologica, grazie a uno specifico e articolato pre-assessment, consente un preciso calcolo dei rischi informatici dell’impresa rispetto a possibili attacchi e obblighi normativi.
La componente reputazionale, consente di definire e dimensionare questo rischio in funzione della tipologia dell’azienda e dei conseguenti rischi di perdita di fatturato.
Tutto ciò permette di definire un benchmark di riferimento iniziale e di concordare con l’Azienda gli obiettivi da raggiungere.
L’utilizzo integrato dei diversi pre-assessments, oltre alle conseguenti soluzioni tecnologiche, ci consente di ottenere delle quotazioni vantaggiose nell’acquisto della tutela assicurativa.
In caso di DATA BREACH il servizio fornito tramite il supporto legale di importanti studi legali nostri partner, affianca in maniera risolutiva l’azienda nell’effettuare le denunce verso le autorità e le comunicazioni verso i soggetti coinvolti, utilizzando modalità uniche e nel rispetto dei termini temporali previsti.

Le soluzioni tecnologiche forniscono una continua valutazione, controllo e reportistiche del rischio informatico.

Le funzionalità, costantemente adeguate, aggiornate ed ulteriormente implementabili su richiesta del cliente, già oggi garantiscono:

  • Analisi e monitoraggio delle attività sul mondo web (rischi esterni)
  • Verifica della presenza di duplicazioni di dati personali in azienda (rischio interno)
  • Analisi delle abitudini comportamentali degli utenti
  • Rilevamento di attività sospette (attacchi, comportamenti anomali di utenti, sistemi infetti)
  • Pannello di controllo e alert, reportistica periodica relativamente ad anomalie della rete aziendale

Grazie a questi strumenti l’Azienda avrà consapevolezza dei rischi della propria rete, possibilità di verificare e dimostrare l’efficacia delle
misure tecniche adottate per la protezione dei dati personali.

Le soluzioni assicurative, esclusive ed articolate, vengono create AD HOC sulla base dei pre-assessments legali, informatici e reputazionali, effettuati

in partenza e dei successivi adeguamenti e adattamenti, in funzione della tipologia di rischio dell’Azienda Cliente.

Le soluzioni assicurative garantite da Risk Solver permettono di proteggere il patrimonio aziendale grazie alle sue innovative coperture, che coprono specificatamente:

  • Spese legali
  • Spese di indagine
  • Spese per il recupero dell’immagine
  • Risarcitorie: danni verso terzi
  • Indennizzanti : fermo attività, ripristino sistemi, recupero/ricostruzione dati, e così via

Innovativi servizi di e-learning e di e-testing basati su piattaforme sviluppate AD-HOC per rendere più fruibile il servizio e più efficace la formazione.

Il nostro obiettivo è di rendere accessibile l’apprendimento grazie a tecnologie di e-learning altamente avanzate che si basano su Learning Management System di ultima generazione.

  • Contenuti multimediali interattivi
  • Sistema di certificazione delle competenze
  • Percorsi didattici in base al livello di apprendimento
  • Istruzione dei collaboratori su procedure e processi aziendali

l’utilizzo del protocollo SCORM (Shareable Content Object Reference Model) permette di certificare la formazione

Il DPO non è una novità assoluta nel panorama legislativo europeo, tuttavia con il Regolamento 679/2016 diventa una figura fondamentale per l’azienda per tutte le scelte relative all’organizzazione aziendale e agli strumenti tecnici, relativamente al Trattamento dei dati. Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati e con competenze tecniche.
I dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicatiall’autorità di controllo competente.

Il DPO può essere un dipendente del titolare del trattamento dei dati oppure può essere un libero Professionista, esterno e autonomo, ingaggiato in base a un contratto di servizio.

In qualunque caso il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.

L’adesione ad uno schema di certificazione accreditato è rivolta a tutte le aziende che trattano dati personali.

I meccanismi di certificazione forniscono i principi e le linee di controllo per una completa valutazione della conformità dei processi interni all’organizzazione in merito alla protezione dei dati personali, tenendo in particolare considerazione la gestione dei rischi.
Essi definiscono i controlli di sicurezza perchè i dati rispettino sempre i requisiti di esattezza, accuratezza, attualità, coerenza, completezza, credibilità e aggiornamento, richiesti dal regolamento.

È necessario scegliere uno schema applicabile a qualsiasi Titolare del trattamento, qualunque sia il settore di appartenenza, che si adatti al tipo di trattamento realizzato e che risponda ai requisiti previsti dal GDPR nella sua applicazione in tutti gli Stati membri.
Deve inoltre essere adeguato agli eventuali criteri integrativi di cui agli artt. 42 e 43 del Reg. 679/2016, quando questi verranno rilasciati dal comitato o dall’autorità nazionale competente ai sensi degli artt. 55 e 56, essendo ancora in fase di definizione.

Scarica la presentazione
Scarica il Regolamento 679/2016