Consulenza Privacy

Consulenza Privacy

Hai difficoltà nel redigere e implementare un Modello Organizzativo Privacy aziendale efficace?
La tua azienda ha bisogno di consulenza Privacy dedicata?
Il nostro Team di esperti Privacy certificati ti aiuterà a predisporre un Piano Privacy su misura per le esigenze aziendali coprendo tutti i punti critici.

Fidati di chi la Privacy la vive ogni giorno.

I NOSTRI SERVIZI DI CONSULENZA PER LA TUA AZIENDA

Consulenza Normativa

Il sistema di compliance privacy che stai adottando per il tuo Business è adeguato alla normativa? Evita le sanzioni e guadagna competitività.

DPO as a Service

La tua azienda ha implementato un Modello di Organizzazione Gestione e Controllo Privacy? Chi dirige le operazioni di compliance?

Consulenza Tecnica

Sicuro di gestire i Trattamenti al meglio? Quali risultati ha portato l’ultimo Risk Assessment eseguito?

La compliance privacy non è più un problema

Consulenza Normativa

Implementiamo ed ottimizziamo il Modello di Organizzazione, Gestione e Controllo Privacy più idoneo per il tuo Business.
La consulenza è erogata direttamente alle figure che operano internamente all’azienda, come componenti dell’Ufficio Privacy/Compliance e Data Protection Officer.

Finalizzata all’individuazione delle possibili azioni correttive con riferimento al corrente sistema privacy adottato dal Titolare, per garantirne la compliance, anche in termini di valutazione del potenziale rischio sanzionatorio connesso a eventuali inadempimenti.
Il risultato è costituito da un Report dettagliato in cui sono indicati i trattamenti censiti, obblighi, dempimenti/inadempimenti, livello di priorità (secondo criteri di rischio-sanzione) e azioni raccomandate.
Alla Due Diligence segue la stesura piano strategico per raggiungere la compliance.

Redazione di un documento avente lo scopo di illustrare come il Titolare, alla luce del GDPR, si attiva attraverso la sua organizzazione per rispettarne i principi, permette l’esercizio dei diritti, trasferisce in maniera conforme i dati verso Paesi terzi, e gestisce la compliance e l’Accountability.

Tale documento si compone di:

  • Parte Generale: fornisce indicazioni di principio per il corretto trattamento dei dati personali nel rispetto dei diritti, delle libertà fondamentali nonché della dignità delle persone fisiche.
  • Parte Speciale: descrive nel dettaglio la documentazione (organizzativa, operativa, di Compliance e di Accountability che compone il Piano Privacy) per raggiungere gli scopi descritti nella Parte Generale.

Affiancamento per corretta compilazione e aggiornamento dei Registri dei Trattamenti, in qualità di Titolare e in qualità di Responsabile, così come previsto dalle FAQ del Garante sui Registri dei Trattamenti dell’8 ottobre 2018.

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.
Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere inserito nel Registro, dando conto delle modifiche sopravvenute.

In considerazione dei trattamenti rilevati:

  • Redazione/revisione dei testi delle informative ex art. 13 e 14 GDPR (clienti, dipendenti, fornitori ecc.)
  • Redazione/revisione dei data processing agreements necessari per i soggetti terzi che trattano dati personali
  • Redazione/revisione dei testi delle nomine dei soggetti designati, delle persone autorizzate e degli Amministratori di Sistema e supporto alla redazione del relativo Mansionario Incarichi

Analisi e implementazione Provvedimento Garante su procedure marketing implementate dal cliente (Provv. Garante n. 330/13):

  • Redazione di Privacy Policy e Cookie Policy;
  • Verifica della corretta predisposizione di form per la raccolta di dati personali e delle relative modalità di raccolta dei consensi;
  • Redazione delle informative ex art 13 e 14 GDPR necessarie;
  • Redazione di eventuali liberatorie per la diffusione di foto e video contenenti dati personali;
  • Analisi dei flussi operativi di processi di acquisto online (ecommerce)
    e di processi di registrazione al sito (aree riservate);
  • Redazione di Condizioni di Utilizzo e Social Media Policy;
  • Gestione dei diritti dell’interessato;

Supporto durante il processo di eventuale nomina di un DPO:

  • Rilevazione e analisi di casi di trasferimento dati al di fuori della UE
  • Verifica su trattamenti che presentano peculiarità ed ulteriori interventi più approfonditi (dati particolari, videosorveglianza, GPS, Biometria, Profilazione, RFID, Fidelity Card ecc.);
  • Supporto nell’individuazione dei casi rientranti nella necessità di svolgere una Valutazione di Impatto (DPIA) e al suo svolgimento, nonché eventuale preparazione di verifiche/consultazioni preliminari innanzi al Garante.
  • Audit (Documentale, Amministratori di Sistema, Responsabili ex art. 28 GDPR);
  • Consulenza e assistenza continuativa per l’interpretazione e la corretta implementazione dei principi e degli obblighi del GDPR, via telefono e via e-mail;
  • Aggiornamento normativo mediante Newsletter.
  • Implementazione linee guida sulla Data Protection By Design;
  • Assistenza nella predisposizione delle seguenti procedure:
    – Organigramma Privacy
    – Linee guida DPO
    – Lettere di designazione
    – Manuale operativo Privacy
    – Linee guida Sicurezza informatica
    – Procedura per l’esercizio dei i diritti dell’interessato
    – Procedura per la gestione dei Data Breach
    – Procedura sulla conservazione dei dati personali
    – Procedura di Valutazione di Impatto (DPIA)
    – Procedura di cooperazione con l’Autorità di controllo

DPO as a service

Fornitura di servizio Responsabile della Protezione dei Dati (DPO) a norma degli artt. 37-38-39 de GDPR, destinato ai Titolari e che comprende l’esecuzione dei compiti:

Il DPO ha il compito di informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati. (art.39.1.a GDPR)

  • Fornitura di supporto all’individuazione del Modello di Organizzazione Privacy del Titolare e della documentazione Privacy necessaria per la compliance aziendale alla normativa vigente e per il mantenimento della responsabilizzazione (accountability).
  • Invio di aggiornamenti periodici ai referenti del Titolare in merito alle novità rilevanti in materia di protezione dei dati personali anche in riferimento al contesto di riferimento.

Il DPO è tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali (art 38.1 GDPR). Fornitura di pareri e valutazioni in merito a:

  • corretta tenuta del registro delle attività di trattamento.
  • risultati della valutazione dei rischi Privacy
  • casi di trasferimento di dati verso paesi terzi o organizzazioni internazionali
  • problematiche relative ai rapporti con Responsabili/Sub-Responsabili del trattamento
  • nuove attività di trattamento e progetti speciali
  • Supporto all’implementazione e manutenzione di un sistema di governance privacy per la corretta gestione del flusso informativo.
  • Incontri periodici presso la sede del Titolare per valutare l’andamento del percorso di compliance aziendale e rilevazione degli scostamenti
  • Relazioni periodiche verso l’azienda Titolare / Responsabile del trattamento:
  • Struttura organizzativa privacy e figure privacy;
  • Mappatura dei trattamenti;
  • Valutazione dei rischi;
  • Valutazione d’impatto (DPIA);
  • Diritti dell’interessato;
  • Data Breach;
  • Reportistica e repository documentale;
  • Importazione/esportazione delle informazioni e fotografie temporali.

La violazione dei dati personali è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4.1 del Regolamento)

  • Intervento e fornitura di pareri e valutazioni in merito a eventi di violazione dei dati personali (Data Breach)
  • Analisi dei singoli eventi e delle informazioni con il coinvolgimento delle figure interessate, gestione delle eventuali notifiche all’autorità di controllo e comunicazioni agli interessati
  •  Supporto nella redazione delle notifiche all’autorità di controllo (art. 33 GDPR) e alla comunicazione agli interessati (art. 34 GDPR)
  • Riesame delle misure atte a limitare gli effetti e a ridurre le possibilità di ripresentarsi dell’evento

Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento. (art. 38.4 GDPR)
È prevista la gestione dei contatti ricevuti dagli interessati tramite casella di posta elettronica dedicata e dei flussi di informazione all’interno dell’organizzazione del Titolare per rispondere alle richieste degli interessati nei tempi previsti dalla normativa e garantire l’esercizio dei diritti di cui agli artt. 15 e ss. del GDPR.

Se richiesto, il DPO fornisce un parere in merito alla valutazione d’impatto sulla protezione dei dati e ne sorveglia lo svolgimento ai sensi dell’articolo 35 del GDPR. (art. 39.1.c GDPR)

  • A seguito di segnalazione del Titolare, fornitura di parere in merito alle valutazioni d’impatto sulla protezione dei dati e sorveglianza del loro svolgimento e degli esiti.
  • Analisi delle situazioni attuali che potrebbero richiedere una valutazione di impatto

Il DPO coopera con l’Autorità di Controllo (art. 39.1.d GDPR).
Il DPO funge da punto di contatto per l’Autorità di Controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del GDPR, ed effettua, se del caso, consultazioni relativamente a qualunque altra questione (art. 39.1.e GDPR).

  • Cooperazione con l’autorità di controllo anche tramite eventuale convocazione presso gli uffici del Garante per la Protezione dei Dati Personali o presso la sede del Titolare in caso di controlli, verifiche, ispezioni
  • Gestione dei contatti ricevuti dall’Autorità tramite casella di posta elettronica dedicata e tramite gli altri dati di contatto forniti all’Autorità stessa in fase di comunicazione dei dati di contatto del DPO

Il DPO sorveglia l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione di responsabilità, la sensibilizzazione, e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. (art. 39.1.b GDPR)

  • Monitoraggio della compliance rispetto al Regolamento e alla normativa vigente,
  • Strutturazione di modalità di sensibilizzazione e formazione del personale che effettua i trattamenti all’interno dell’organizzazione del Titolare tramite sessioni di formazione in aula, da remoto e in modalità e-learning.

Consulenza tecnica

Le informazioni necessarie all’analisi dei trattamenti mappati vengono raccolte tramite interviste strutturate a Business Owner, personale IT, funzione Legal, DPO.
Svolgimento di Risk Assessment con metodologia ISO e standard consolidati (con l’utilizzo del software GoPrivacy), allo scopo di valutare:
• Rischi CyberSecurity
• Rischi di Compliance (es. consensi)
• Rischi per i diritti e le libertà delle persone fisiche

  • Supporto alla funzione IT per la gestione dei trattamenti rilevati;
  • Redazione Documento Generale Misure di Sicurezza (DGMS): l’Art. 30 del GDPR prevede che i Registri dei trattamenti contengano una descrizione generale delle misure di sicurezza. Come indicato dal Garante nelle FAQ sui Registri tale adempimento può essere soddisfatto redigendo un Documento Generale (Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

L’Attività di Valutazione del Rischio (Risk Assessment) è un elemento centrale del GDPR e andrebbe condotta con regolarità.

  • Supporto nell’implementazione e aggiornamento della Valutazione dei Rischi per i diritti e le libertà delle persone fisiche (art. 32 GDPR) secondo una metodologia definita.
  • Risk assessment: Valutazione dei rischio mediante l’utilizzo del tool GoPrivacy:
    • Conferma/aggiornamento di asset con relativi valori di impatto e minacce con relativi valori di probabilità;
    • valutazione delle contromisure “privacy” in essere e di un eventuale piano di trattamento;
    • generazione dei report di analisi dei rischi.

Per far fronte alla complessità nella gestione di tutti gli adempimenti previsti dal GDPR, il Team di consulenti Unolegal utilizzano GoPrivacy: software in cloud sviluppato da Unolegal per la gestione della Compliance Privacy:

  • Struttura organizzativa privacy e figure privacy;
  • Mappatura dei trattamenti;
  • Valutazione dei rischi;
  • Valutazione d’impatto (DPIA);
  • Diritti dell’interessato;
  • Data Breach;
  • Reportistica e repository documentale;
  • Importazione/esportazione delle informazioni e fotografie temporali.

I NOSTRI CONSULENTI

Giovanni Brunetti

Responsabile Servizi GoPrivacy Consulente Privacy. Maestro della Protezione Dati & Data Protection Designer® Academy IIP.

Luca Leone

Responsabile Servizi Privacy Gruppo Sistemi Uno - Privacy Officer e Consulente Privacy
Certificato TÜV Italia, Lead Auditor ISO 27001 Maestro della Protezione Dati & Data Protection Designer® Academy IIP
Fellow Istituto Italiano Privacy

Renato Castroreale

Direttore Tecnico di Sistemi HS
Lead Auditor ISO 9001 - ISO 27001
Consulente ISO 9001 - ISO 27001, Privacy

Antonio Serriello

Privacy Officer e Consulente Privacy
certificato TÜV Italia Implementer ISO 27001 Maestro della Protezione Dati & Data Protection Designer® Academy IIP

Le domande più chieste sul Consulenza Privacy e GDPR

Solitamente, il soggetto preposto alla valutazione dei rischi privacy all’interno di una organizzazione è il personale del reparto IT. In ogni caso queste attività dovrebbero essere gestite da un team con competenze eterogenee e trasversali, al fine di considerare ogni tipologia di elemento utile ad un corretto processo di valutazione, coinvolgendo, ad esempio, l’ufficio legale, le risorse umane, l’ufficio qualità/compliance ed ovviamente il DPO.

Già dal considerando 76 del GDPR è possibile ricavare come il rischio debba essere considerato sulla base di un valutazione oggettiva, con cui stabilire se i trattamenti comportano un rischio basso o un rischio elevato. Elementi di soggettività dovrebbero essere inseriti nell’ambito di considerazione del contesto di trattamento dei dati personali .

Sono molte le attività da intraprendere per adempiere alle richieste del GDPR. Per la gestione della compliance di micro, piccole e medie imprese Unolegal ha sviluppato una soluzione software in grado di gestire le complesse attività richieste dalla normativa vigente in modo chiaro ed attraverso un percorso guidato. Conosci già GoPrivacy?

L’acronimo DPO sta per Data Protection Officer che tradotto significa: Responsabile della Protezione dei Dati Personali o RPD. 

il DPO deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, par. 5).

 

Abbiamo scritto una guida completa. Scopri di più.

Come possiamo aiutarti?

Informativa breve sul Trattamento
ex art. 13 del Regolamento Generale per la Protezione dei Dati UE 2016/679 (di seguito GDPR)
v5.0 01/05/2021
Sistemi HS S.p.A. con sede in Via Torino, 176 – 10093 Collegno (TO),  facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento (art. 24 del GDPR), si impegna costantemente nel tutelare i Dati Personali (di seguito DP). Il Titolare tratterà i DP (art. 4 par. 1 del GDPR), per le finalità che seguono. Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto del quale l’Interessato, per l’effetto, è parte (art. 6 par. 1 lett. b del GDPR). I DP potranno essere altresì trattati, sulla base del manifestato consenso, per comunicazioni promozionali e di marketing, e sulla base di un ulteriore esplicito consenso, saranno comunicati alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del GPDP del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda alla Privacy Policy.
Letta e compresa l’informativa, e quanto di cui a corredo:

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.