Analisi GDPR

Made in Lab accompagna le Aziende nell’adeguamento immediato dei propri processi interni al nuovo Regolamento Europeo 679/2016 – GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
In tale contesto Made in Lab pone priorità e precedenza alla privacy degli utenti, potenziando la comunicazione aziendale interna attraverso programmi di formazione specifica affinché tutto il personale che ha accesso e gestisce i dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria attività.
Made in Lab applica il concetto di privacy by design, un punto cardine del GDPR, che stabilisce il principio per cui le misure di salvaguardia dei dati personali debbano essere pianificate sin dalla progettazione dei processi aziendali. A tale fine offre uno staff interdisciplinare per garantire l’implementazione di misure adeguate di protezione e l’adempimento degli obblighi legali previsti dal GDPR, mediante mappatura delle operazioni di trattamento dei dati personali in un apposito registro.
Inoltre applica il concetto di accoutability, adottando politiche e misure idonee a garantire la conformità del trattamento allo stesso Regolamento e rendendo possibile verificare l’attuazione di meccanismi pratici nelle fattispecie concrete.

Preferisci il modulo cartaceo? Puoi reperire il modulo da questo link.

Made in Lab effettuerà un sopralluogo con un tecnico sistemista presso la sede del cliente con lo scopo di raccogliere i dati e le informazioni principali per la stesura e l’avvio della pratica inerente al GDPR. Verranno organizzati corsi di formazione per i dipendenti/incaricati aziendali e fornite eventuali consulenze annuali (1/2 visite all’anno per aggiornamento della documentazione, valutazione di nuovi bisogni formativi, aggiornamento in base alla normativa vigente), con relativa stesura del verbale di sopralluogo periodico.

Nel dettaglio i documenti che verranno consegnati sono:

  • DPIA (se necessario in base ai dati trattati dall’azienda)
  • Organigramma privacy
  • Registro del trattamento
  • Nomine: incaricato al trattamento dati, responsabile al trattamento dati (fra le quali nomine specifiche per responsabili quali commercialista, …) – le nomine sono accompagnate alla lista di distribuzione
  • Istruzioni per incaricato e relativa lista di distribuzione
  • Obbligo riservatezza e relativa lista di distribuzione
  • Informative: per dipendenti, per responsabili al trattamento, per utenti/clienti, per candidati
  • Registro della formazione
  • Foglio firme del corso e attestati corso di formazione
  • Documento valutazione rischio privacy (se previsto)
  • Tutti i documenti saranno consegnati in un raccoglitore personalizzato ed organizzato in modo da poter essere facilmente aggiornabile e fruibile in caso di controlli

 

    Nome Azienda

    Nome referente

    Ruolo aziendale

    Telefono aziendale

    Telefono aziendale

    Email aziendale

    Indirizzo

  • C'è un Rappresentante1 del Titolare del trattamento?

  • Sono presenti più Titolari1 del trattamento?

  • Dove si trovano gli Interessati2?

  • I dati vengono trasferiti al di fuori della UE?

  • Qual è la locazione di server e database?

  • I dati vengono memorizzati sul cloud?

  • I dati vengono memorizzati su un server/database interno all'azienda o di proprietà di terze parti?

  • Quali categorie di dati sono raccolti?2/3/4/5

    • 1 Ai sensi dell’art. 4, 17 del GDPR il Rappresentante del Trattamento è la persona fisica o giuridica stabilita nell'UE, designata dal titolare o dal responsabile, che li rappresenta per quanto riguarda i rispettivi obblighi.
    • 2 Ai sensi dell’art. 4 del GDPR sono dati personali nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
    • 3 Ai sensi dell’art. 9 del GDPR sono particolari categorie di dati i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
    • 4 Sono dati che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad es. i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione).
    • 5 Ai sensi dell’art. 4 del GDPR i dati biometrici sono dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica quali l'immagine facciale o i dati dattiloscopici; i dati genetici sono relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione.
  • I dati raccolti sono riferibili a quali categorie di interessati?

  • Qual è la provenienza dei dati raccolti?

  • È nominato un Responsabile del Trattamento5(o più di uno)?

  • Sono nominate persone autorizzate al trattamento (Incaricati ex art. 30 D.Lgs. 196/2003 - Codice Privacy)?

  • Le persone autorizzate al trattamento hanno ricevuto idonea formazione?

  • Le persone autorizzate al trattamento hanno ricevuto credenziali di autenticazione?

  • È nominato il DPO? 7

  • È stato predisposto il registro trattamenti?

  • (In caso di risposta affermativa) Il registro dei trattamenti è regolarmente aggiornato?

  • Esiste una procedura per gestire eventuali violazioni dei dati personali?

  • Ci sono misure tecniche e organizzative che consentono di identificare i dati, cancellarli, modificarli e limitarne l’utilizzo (es. pseudonimizzazione, minimizzazione, password, antivirus, firewall, segregazione accessi)?

  • Ci sono misure tecniche e organizzative per la conservazione dei dati (es. armadi chiusi a chiave, allarmi)?

  • Viene eseguita la DPIA9, Valutazione di Impatto Privacy

  • È prevista e disponibile idonea informativa al trattamento dei dati personali?

  • Qual è la base giuridica del trattamento?

  • Quali sono le finalità del trattamento?

  • L'Azienda raccoglie e tratta i dati personali ai fini sopra indicati per conto di qualcun altro?

  • È prevista la raccolta del consenso, ove necessario?

  • Qual è il tempo di conservazione dei dati?

  • Sono previsti strumenti applicativi per garantire i diritti dell’interessato?10

  • L'azienda ha un sito web?

  • L'azienda svolge o ha intenzione di svolgere attività di marketing?

  • L’azienda svolge o ha intenzione di svolgere attività di marketing online?

    In caso di risposta affermativa: descrivere brevemente la procedura adottata nella specifica attività di marketing online per la raccolta e il trattamento di dati personali?

  • È presente un sistema di protezione dei dati?

  • È previsto un sistema di accessi ai dispositivi?

  • È previsto un sistema di gestione password centralizzato?

  • Qualora una persona autorizzata al trattamento lasci il proprio ruolo cosa accade?

  • Sono presenti persone autorizzate al trattamento (Responsabili interni ex art. 29 D.Lgs. 196/2003)?6

  • È presente una persona autorizzata al trattamento per la funzione IT (Responsabile interno ex art. 29 D.Lgs. 196/2003)?

  • È prevista una procedura di disaster recovery per ripristinare la disponibilità dei dati in caso di incidente fisico o tecnico?

  • Sono previste procedure di back up dei dati?

  • È previsto un sistema di gestione sicurezza client?

  • È previsto un sistema di gestione sicurezza del server?

  • Il database è criptato?

  • Il sistema operativo e i software vengono aggiornati?

  • Sono previsti interventi di manutenzione software e hardware programmati?

  • Le persona autorizzata al trattamento (dipendenti o collaboratori esterni) utilizzano dispositivi:

  • È stato previsto un firewall per protezione perimetrale dell’azienda in manutenzione con software aggiornato e vengono eseguiti periodicamente 'penetration test' per testare la validità delle regole:

  • Compilare i seguenti campi per risalire a uno schema di rete attuale:

  • È stato previsto il log di rete switch router firewall dhcp e hotspot per i guest in wifi (per quanto tempo) per prevenire malfunzionamenti:


    Numero di mesi:

I dati raccolti da Made in Lab saranno utilizzati ai fini della produzione dell’analisi e alla redazione dell’offerta relativa all’adeguamento alle nuove normative sulla privacy GDPR e per l’invio di aggiornamenti, documenti e newsletter le cui finalità saranno sempre dedicate ad aggiornamenti e informazioni inerenti all’informazione tecnologica. Fermo restando che l’utente è il proprietario dei dati per cui potrà chiedere in ogni momento la cancellazione, i dati saranno conservati per 10 anni nel caso in cui l’offerta sia seguita da fatturazione e 3 anni nel caso in cui l’offerta non sia seguita da fatturazione. I dati raccolti non saranno ceduti a terze parti e sono protetti attraverso i più elevati standard tecnologici a protezione e tutela della privacy.

Grazie per avere compilato il questionario, il nostro gruppo di lavoro formato da legali, sistemisti e tecnici ha produrrà un’analisi dettagliata di progetto e preventivo che vi permetterà di essere conformi alla nuova normativa europea sulla privacy GDPR.

Per qualsiasi dubbio in fase di compilazione e per maggiori informazioni sulle questioni informatiche potete scrivere a privacy@m-lab.it facendo riferimento in oggetto a Privacy e all’interlocutore di cui si chiede il supporto.

Andrea Giorgi questioni sistemistiche

Eleonora Scarinzi aiuto alla compilazione onsite

Avv. Alessandro Mariani per le questioni legali

Per richiedere appuntamento telefonico, invece, chiamare lo 0543 488412 e chiedere di Eleonora Scarinzi.

1 Il Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali.
2 Gli Interessati sono le persone fisiche cui i dati raccolti si riferiscono.
3 Con dato personale si fa riferimento a qualsiasi informazione relativa a una persona fisica identificata o identificabile (es. nome, cognome, indirizzo mail, numero di telefono, indirizzo, etc..)
4 I dati sensibili sono quelli idonei a rivelare informazioni particolari quali origine razziale o etnica, stato di salute, orientamento religioso, orientamento politico, orientamento sessuale. I dati personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad es. i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione).
5 Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica o altro organismo che tratta dati personali per conto del Titolare del trattamento.
6 Gli Incaricati sono le persone fisiche autorizzate a compiere operazioni di trattamento dei dati personali e operano sotto le direttive del Titolare del trattamento o del Responsabile del trattamento (ad es. dipendenti, collaboratori esterni, etc..)
7 Il Data Protection Officer o Responsabile per la protezione dei dati personali è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda affinché siano trattati nel rispetto delle normative privacy europee e nazionali.
8 È un registro delle attività di trattamento svolte sotto la responsabilità del Titolare o del Responsabile del trattamento. È obbligatorio per le aziende con oltre 250 dipendenti o qualora vengano trattate particolari categorie di dati (sensibili, giudiziari, etc..) o vengano posti in essere trattamenti non occasionali che presentino un rischio per i diritti e le libertà dell’interessato. È in ogni caso un documento fortemente consigliato.
9 La DPIA o valutazione di impatto privacy è un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio.
10 Il GDPR ha introdotto una serie di diritti in capo all’interessato, ai quali il Titolare del trattamento è tenuto a fornire riscontro entro 1 mese dalla richiesta di esercizio. Diventa quindi importante prevedere un processo idoneo a fornire il suddetto riscontro entro le tempistiche previste.