Mel Technologies

DATA PROTECTION

L’introduzione del nuovo regolamento 679 del 2016, pone alcune problematiche importanti, con una forte attenzione ad uno degli ambiti di maggior rischio che è senza dubbio legato alla macro tematica Data Protection, in termini di gestione documentale, di procedure interne, di applicazione di misure minime ed idonee di sicurezza e delle imposizioni previste dai provvedimenti dell’autorità Garante.

Le trasformazioni organizzative e culturali evidenziano criticità a diversi livelli che afferiscono sia alla dimensione gestionale amministrativa che a quella, più specificatamente, relazionale e trasversale.

Lo scenario imprenditoriale nazionale ha subito forti mutamenti, l’enorme quantità di dati che tutte le aziende trattano hanno imposto alle organizzazioni un adeguamento strutturato dei vari processi e dei flussi organizzativi.

Data Protection

Le nostre attività di supporto consistono:

  • Valutazione dello stato dell’arte: con specifico riferimento agli aspetti tecnici e normativi relativi alla redazione e tenuta del Registro delle attività di trattamento (ex. Art. 30 Regolamento UE 679/2016) attraverso una Gap analysis che evidenzi lo stato dell’arte degli adempimenti previsti dal Regolamento U.E. 2016/679, nonché lo stato di conformità/non conformità degli stessi;
  • Verifica della conformità del sito web aziendale: aggiornamento della Privacy Policy e della Cookie Policy;
  • Redazione del registro dei trattamenti;
  • Individuazione e mappatura dei trattamenti effettuati, analisi della tipologia dei dati trattati, delle finalità per cui sono trattati, dei termini di conservazione dei dati, delle categorie degli interessati e classificazione del rischio privacy, anche dei dati non strutturati; individuazione di eventuali trattamenti non censiti;
  • Mappatura degli asset organizzativi, informatici e logistici finalizzata all’analisi e alla valutazione dei rischi ex ISO 27001 e definizione delle politiche di sicurezza per l’attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare la completa conformità al GDPR;
  • Supporto alla committenza nell’attività di valutazione d’impatto sulla protezione dei dati (DPIA “Data Protection Impact Assessment”) e assistenza nell’individuazione dei trattamenti dai quali possa derivare un rischio elevato per la libertà e per i diritti degli utenti interessati;
  • Predisposizione e definizione del Remediation Plan: individuazione delle azioni correttive tecniche ed organizzative, atte a ridurre i gap individuati e le relative priorità, con particolare riferimento alla sicurezza informatica ed alle misure organizzative e tecniche adeguate da implementare;
  • Attività di supporto nella definizione dei ruoli e responsabilità all’interno del sistema di gestione privacy;
  • Attività di supporto nell’individuazione degli Amministratori di Sistema, ai sensi del Provvedimento del Garante privacy del 27 novembre 2008 (Misure e accorgimenti, prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema) e messa a disposizione di modelli standard di designazione degli Amministratori di Sistema sia interni che esterni;
  • Revisione e/o produzione della documentazione necessaria: informative e consensi per il trattamento dei dati personali, on line e off line; incarichi, nomine, data processing agreement necessari per i soggetti che trattano dati personali per conto della committente, accordi di contitolarità;
  • Predisposizione e implementazione di adeguata procedura del processo di gestione e comunicazione dei C.d. Data Breach con conseguente stesura e attivazione del Registro di Violazione dei dati.
  • Individuare e monitorare nuove pratiche operative per identificare nuovi processi o modificare quelli esistenti al fine di garantire conformità e accountability (attuazione della Privacy by design); predisposizione e implementazione dei processi per la gestione delle richieste di accesso e di esercizio degli altri diritti da parte degli interessati.