Il GDPR (General Data Protection Regulation), entrato in vigore nell’aprile 2016 a seguito della sua pubblicazione nella Gazzetta ufficiale dell’Unione Europea, si è applicato con decorrenza dal maggio 2018 ed è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

ASCHENAZIA offre alle aziende servizi differenti in relazione al contesto ed al settore di appartenenza:

• gap analysis sul GDPR e supporto per l'adeguamento alla normativa;
• formazione delle figure professionali;
• consulenza per ottenere le certificazioni dei servizi IT secondo le norme ISO 27001, ISO 20000 e ISO 22301.

Focus normativo

Il regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. Con “dati personali” si intende qualsiasi informazione riguardante una persona fisica, identificata o identificabile attraverso informazioni quali il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o piu’ elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale GDPR 679/2016, ex art. 4).

Con il GDPR sono stati evidenziati una serie di punti di fondamentale importanza, quali: 

• personal data
• trasferimento dei dati all’estero
• data portability
• consent
• privacy impact assessment
• privacy by default e privacy by design
• data protection officer
• data breach notification
• diritto alla cancellazione dei dati “diritto all’oblio”
• sicurezza dei dati personali.

Decreto Legislativo 10 agosto 2018, n. 101

Il decreto legislativo 10 agosto 2018, n. 101, in vigore dal 19 settembre 2018, armonizza le regole sulla privacy al Regolamento UE 2016/679, che recepisce le numerose novità in materia di tutela dei dati personali stabilite dal GDPR. L'obiettivo di tale decreto è armonizzare e abrogare le disposizioni normative italiane (es. gran parte del decreto lgs 196/2003) in contrasto con il GDPR e integrare alcuni aspetti normativi che necessitano di un intervento legislativo nazionale, come previsto dal Regolamento.

Fasi del servizio

I principali passi del GDPR possono essere:

• verificare cosa si e’ fatto e cosa si sta facendo (assessment con analisi cd. “as is”)
• risk assessment e PIA (valutazione d’impatto privacy, mappatura dei processi sensibili, predisposizione di una valutazione del rischio etc.)
• assessment e gap analysis
• Data protection impact assessment and prior consultation
• piano di remediation
• nomine e incarichi dei soggetti coinvolti (es. Titolare, Responsabile del trattamento, Autorizzati, Responsabile della protezione dei dati/DPO se previsto etc.)
• informazione / formazione del personale coinvolto
• assunzione del ruolo di Data Protection Officer (DPO)
• aggiornamento periodico del sistema.

Perché scegliere ASCHENAZIA?

Nel tempo abbiamo maturato competenze in servizi pertinenti la gestione dei dati personali e dei processi IT. Siamo accreditati per compiere le verifiche su svariate norme, oltre che per supportare le aziende nella certificazione dei servizi IT quali ISO 27001, ISO 20000, ISO 22301.

FAQ

Il GDPR si applica anche qualora il trattamento dei dati non avviene in territorio UE?
La norma si applica indipendentemente dal fatto che il trattamento sia effettuato o meno in territorio UE: ciò significa che riguarda anche i titolari del trattamento non stabiliti nell’UE, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Quali sanzioni sono applicabili a chi non rispetta i requisiti della norma?
il titolare che non dovesse adempiere a quanto stabilito dal GDPR potrà incorrere in possibili sanzioni amministrative (max 20.000.000 € per le imprese, fino al 4 % del fatturato mondiale totale annuo, se superiore), civili e/o penali.