Redazione della documentazione GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) si applica, riprendendo l’art. 3 del Regolamento stesso, al “trattamento interamente o parzialmente automatizzato di dati personali ed al trattamento non automatizzato di dati personali contenuti in archivio”.
Nel concreto, secondo il concetto di accountability previsto dal GDPR, le aziende devono essere in grado di dimostrare di aver adeguato i processi aziendali, in cui vengono gestiti dati personali, alle regole poste dal GDPR stesso. Questo avviene attraverso la redazione ed il mantenimento di una serie di documenti specifici che compongono la documentazione GDPR.
Le aziende non conformi alla normativa sono passibili di sanzioni considerevoli che, nel peggiore dei casi, possono raggiungere i 20 Milioni di Euro oppure il 4% del fatturato globale nel caso di Società multinazionali.
Redazione della documentazione in conformità al GDPR con Ecloga
Il servizio offerto consiste nella redazione di una serie di documenti in conformità alle disposizioni previste dal GDPR, realizzati in funzione dei trattamenti di dati specifici svolti nell’attività cliente. Questi documenti comprendono le informative, le nomine verso i soggetti interni ed esterni che trattano dati, i registri, la valutazione d’impatto (DPIA) ove necessaria, le procedure necessarie alla gestione dei diritti degli interessati e degli eventuali Data Breach, oltre alla documentazione necessaria alla formazione degli incaricati.
Nel dettaglio, l’attività di redazione della documentazione GDPR consisterà in:
- Mappatura dei trattamenti dei dati personali: mappatura delle attività che comportano trattamento di dati di persone fisiche;
- Redazione del Registro dei trattamenti (sia come titolare che come responsabile): compilazione del registro dei trattamenti su tracciato del Garante;
- Redazione della DPIA (Valutazione d’impatto sulla protezione dei dati): la DPIA conterrà una valutazione approfondita dei trattamenti che potrebbero presentare un rischio elevato per i diritti e le libertà delle persone fisiche, secondo le linee guida emanate dal Garante per la protezione dei dati. Tale valutazione non risulta sempre obbligatoria;
- Redazione delle Nomine: analisi e predisposizione delle nomine verso i Responsabili del trattamento, sia interni che esterni; predisposizione, inoltre, delle nomine verso i soggetti autorizzati al trattamento;
- Stesura delle informative: verifica delle informative esistenti; aggiornamento delle informative ai nuovi contenuti richiesti dal GDPR; redazione di nuove informative;
- Consensi: verifica consensi esistenti; aggiornamento dei consensi ai nuovi contenuti richiesti dalla normativa; ove necessario, redazione di nuovi moduli per la raccolta del consenso;
- Redazione Policy GDPR / Politica sul trattamento: redazione della politica sul trattamento dei dati personali;
- Valutazione delle misure di sicurezza vigenti: analisi dei rischi (distruzione, perdita, modifica, divulgazione non autorizzata o accesso illecito, etc.) gravanti sui dati personali trattati; identificazione delle misure di sicurezza attualmente utilizzare, sia di tipo tecnico che organizzative; Gap Analysis; suggerimento su migliorie da attuare per ridurre i rischi residui;
- Redazione documenti per la gestione dei Data Breach: definizione procedura e registro di gestione degli eventuali Data Breach; redazione della documentazione da utilizzare in caso di Data Breach;
- Redazione documenti per la gestione delle richieste degli interessati: definizione procedura e registro di gestione delle richieste degli interessati secondo i diritti previsti dalla norma; redazione della documentazione da utilizzare in caso di ricevimento di richieste ;
- Formazione: supporto mediante slide formative e procedure specifiche per la corretta istruzione e formazione degli incaricati al trattamento;
- Sito web: verifica dello stato di conformità del sito e segnalazioni di eventuali lacune o problematiche; Redazione privacy policy e cookie policy;
- Data Protection Officer (DPO): valutazione della necessità della nomina; nomina del DPO (servizio aggiuntivo escluso alla redazione della documentazione);