Gestione Protezione Dati
Protezione dati – GDPR
Abbiamo sviluppato una soluzione innovativa per l’adeguamento GDPR online aziendale, elaborato sulla base delle esigenze della realtà.
La soluzione è facile e intuitiva e riteniamo sia l’ideale per i titolari e i responsabili di trattamento, inoltre garantisce un valore aggiunto rispetto ad altre prestazioni eseguite con modalità tradizionali.
I vantaggi di una soluzione gestionale online integrata
Consente una supervisione e un’integrazione immediata agli adempimenti sui registri, sui documenti aziendali e in tutte le procedure presenti.
In ambito Accountability e dimostrazione della realizzazione degli adempimenti il GDPR richiede di documentare i processi e grazie ad un modello smart l’applicazione consente di documentare, tracciare e verificare tutti gli interventi eseguiti in ogni documento.
Non da ultimo la soluzione gestionale consente un elevato grado di personalizzazione degli adempimenti.
Di seguito riportiamo gli articoli (o parte di essi) del Regolamento Europeo 2016/679 (o GDPR) più significativi per le attività di trattamento dei dati personali dal punto di vista informatico.
ART. 15 – DIRITTO DI ACCESSO DATI DA PARTE DELL’INTERESSATO:
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno
comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non
è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o
la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo a un’autorità di controllo; qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Ai sensi dell’art. 83, comma 5, lett. b) la violazione dei diritti degli interessati previsti dall’art. 15 GDPR, è soggetta a sanzioni amministrative pecuniarie fino a euro 20 milioni, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Art. 25 – PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER IMPOSTAZIONE PREDEFINITA
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito
di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli
interessati.
- Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per
ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Ai sensi dell’art. 83, comma 4, lett. a) la violazione dei diritti degli interessati previsti dall’art. 25 GDPR, è soggetta a sanzioni amministrative pecuniarie fino a euro 10 milioni, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
ART. 32 – SICUREZZA DEL TRATTAMENTO:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità
e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali
in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche
e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati
dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla
modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale,
a dati personali trasmessi, conservati o comunque trattati.
Ai sensi dell’art. 83, comma 4, lett. a) la violazione dei diritti degli interessati previsti dall’art. 32 GDPR, è soggetta a sanzioni amministrative pecuniarie fino a euro 10 milioni, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le nostre Considerazioni in merito
Ferma restando la necessità di una lettura approfondita delle norme di cui sopra in chiave IT, si riportano di seguito, senza pretesa di esaustività e a livello generale, i principali requisiti tecnici che devono essere considerati per l’adeguamento dell’infrastruttura IT al GDPR:
- i dati personali devono essere conservati in ambienti sicuri ma devono al contempo essere facilmente rintracciabili e accessibili da persone specificamente individuate in base al ruolo aziendale ricoperto e dotate di chiavi di accesso definite da un sistema organizzativo;
- tutte le infrastrutture che consentono l’accesso ai dati devono essere dotate di tutte le protezioni contro ogni tipo di intrusione;
- in caso di incidente, o perdita accidentale di dati, si deve potere dimostrare che tutti i dati personali possono essere recuperati rapidamente e completamente grazie ad un efficiente sistema di back-up;
- avere una “tracciatura” del trattamento dei dati personali sin dal loro ingresso nel sistema (si deve potere dimostrare quale è l’origine dei dati, come sono stati raccolti, e da chi vengono trattati, per quale periodo e per quali motivi);
- i dati devono essere mantenuti per il periodo strettamente necessario al loro utilizzo, salvo le inderogabili norme di legge. (per es. 10 anni conservazione dati amministrativi).
A chi ci rivolgiamo
Alle medie aziende strutturate e alle piccole in fase di crescita, che necessitano di ottimizzazione dei processi interni e di innovazione, per migliorare la propria visibilità ed essere più competitivi nel proprio mercato di riferimento.
Come lavoriamo
La nostra azienda ha come mission quella di essere un partner tecnologico e di affari.
Dopo un’attenta analisi iniziale della realtà aziendale, aiutiamo i nostri clienti a raggiungere gli obiettivi concordati garantendo un patto di riservatezza contrattualizzato.
