Via Bezzecca, 1 - Treviglio (BG) +39 371.315.1217

Servizio Privacy Impact Assessment

LSI > Servizi di sicurezza informatica ed assistenza tecnica > Servizio Privacy Impact Assessment

Il nuovo contesto normativo

Il 25.05.2016 è entrato in vigore il Regolamento UE 2016/679 relativo alla protezione e alla libera circolazione dei dati personali (GDPR) che abroga la direttiva 95/46/CE da cui deriva il D. Lgs. 196/03 (Codice privacy) attualmente in vigore.
Il GDPR sarà direttamente applicabile in tutti gli Stati membri a partire dal 25.05.2018, senza necessità di interventi legislativi nazionali di recepimento.

L’ambito di applicazione

Il GDPR si applica a tutti i trattamenti di dati personali, automatizzati e non; il termine ultimo entro il quale è necessario aver completato il processo di implementazione è il 25 maggio 2018.

Per quanto riguarda l’ambito di applicazione territoriale, il GDPR si applica al trattamento dei dati personali effettuato da parte di un Titolare o di un Responsabile stabilito all’interno UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’UE, ma anche al trattamento dei dati personali di Interessati che si trovano nell’UE, effettuato da un Titolare o da un Responsabile che non è stabilito nell’UE, ove ricorrano particolari circostanze.

Il GDPR, infine, si applica anche ai trattamenti dei dati personali effettuato da un Titolare che non è stabilito nell’UE, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

I rischi per Titolari e Responsabili

Alla luce della nuova normativa le imprese sono esposti a rischi quali ad esempio:

  • l’incremento della consapevolezza legale da parte degli Interessati, con conseguente maggior rischio di contestazioni: risulta quindi necessario – a prescindere dalla fondatezza della contestazione – essere in grado di “gestirla” adeguatamente e tempestivamente;
  • il possibile aumento di reclami avanti all’Autorità di Controllo (potenzialmente in tutta Europa) volte ad infliggere sanzioni;
  • il possibile aumento azioni legali volte ad ottenere risarcimenti del danno (patrimoniali e non).

Tali rischi comportano:

  • la necessità di rivedere le procedure esistenti o di adottarne di nuove;
  • l’inevitabile investimento in termini finanziari e di risorse per l’adeguamento alla normativa;
  • la necessità di definire ed implementare nuove “best practices” per essere in grado di fornire riscontro adeguato e tempestivo alle richieste provenienti dal mercato, dagli interessati, o dagli enti regolatori;

Il nostro servizio Privacy Impact Assessment

Il privacy impact assessment (Documento di valutazione d’impatto nel trattamento dei dati) consiste in un documento nel quale considerare quali dati verranno trattati, quali sono i rischi concreti dati dall’utilizzo di tali dati e quali cautele possono essere messe in atto per prevenire e risolvere tali criticità.
Il documento comprende una lista di potenziali rischi o criticità ed un programma per la loro gestione e risoluzione.
 
Il servizio Privacy Impact Assessment offerto da Lauricella Sicurezza Informatica consiste in uno screening iniziale ed una gestione sviluppata nei seguenti punti:
  • Un analisi delle informazioni personali mappate sui processi aziendali e sugli asset tecnologici; una misurazione e registrazione dello stato di conformità con gli articoli del GDPR;
  • l’analisi del rischio intrinseco e del rischio residuo;
  • realizzazione della procedura per la registrazione degli incidenti (data breach) con impatti sui dati personali;
  • valutazione delle azioni derivanti da eventuali non conformità o incidenti con rappresentazione delle decisioni relative all’accettazione o al trattamento dei rischi che possono essere portate come evidenze in caso di audit da parte delle autorità preposte;
  • valutazione delle informative e consensi;
  • predisposizione della modulistica.

Il servizio Privacy Impact Assessment non comprende le seguenti attività accessorie:

  • redazione di pareri legali scritti ed analisi specifica di informative e consensi;
  • assistenza, difesa e rappresentanza in giudizio o avanti il Garante o altre Autorità;
  • attività di messa a norma rispetto al Codice Privacy e/o al GDPR (da valutare eventualmente successivamente allo screening iniziale);
  • Software, hardware ed attività tecnica per la gestione della compliance al GDPR e comunque ogni altra attività non espressamente inclusa nelle attività previste;
  • Nomina del Responsabile per la Protezione dei Dati RDP-DPO (data protection officer), da valutare successivamente allo screening iniziale.