CONCETTI MOP

Il Modello Organizzativo Privacy di Sicurdata

L’attività di supporto per il raggiungimento degli obiettivi di creazione di un sistema di gestione privacy con al suo interno un modello organizzativo e dossier privacy nel pieno rispetto delle normative vigenti prevede una serie di attività che devono essere condivise con il Vostro GdL (Gruppo di lavoro) che si suggerisce di creare per affrontare questo periodo straordinario di adeguamento.

Una volta raggiunta la COMPLIANCE l’Azienda/Ente potrà decidere se effettuare la Certificazione del proprio Sistema Gestione Privacy come previsto facoltativo dagli artt. 40-43 del NUOVO REGOLAMENTO EUROPEO.

La certificazione è su base volontaria e non rientra nella presente offerta. Il C.C.P. di Sicurdata è disponibile a fornire il supporto necessario.

I Concetti

1ᵃ
FASE: Check Assessment

Come previsto, questo tipo di consulenza verrà erogata in forma di supporto a giornate al Vostro Gruppo di lavoro. In caso di affidamento, per soddisfare questa prima fase sarà inviato un programma di Audit propedeutico alla raccolta delle informazioni necessarie alla costruzione del Sistema di Gestione privacy personalizzato. Le informazioni raccolte verranno messe in relazione con:

  • Codifica anagrafica sul portale certificato;
  • Individuazione della tipologia di dati trattati;
  • Analisi e codifica delle corrette procedure per il trattamento dei dati;
  • Analisi e codifica delle corrette procedure per la comunicazione dei dati verso soggetti terzi;
  • Individuazione e implementazione dei corretti principi di trattamento dei dati secondo la normativa vigente;

2ᵃ
FASE: Costruzione M.O.P. (Modello Organizzativo Privacy)

All’interno del Kit personalizzato per la Vostra realtà SICURDATA provvederà ad aggiornare, integrare e personalizzare la documentazione necessaria per la dimostrazione di aver rispettato quanto richiesto dal GDPR.

A titolo di esempio:

  • Evidenza e rispetto dei provvedimenti specifici adottati dal Garante;
  • Aggiornamento secondo quanto richiesto dal GDPR delle lettere di nomina e conferimento incarico agli interni;
  • Gestione Policy Cookies e privacy sul sito/portale;
  • Aggiornamento secondo quanto richiesto dal GDPR delle diciture da inserire nelle comunicazioni di marketing, e newsletter;

3ᵃ
FASE: Piano di Formazione

L’attività di realizzazione del progetto di formazione/addestramento potrà svilupparsi su 3 soluzioni da poter scegliere in modo alternativo:

  • Soluzione A: Formazione e Addestramento BASE in modalità “FAD” (E-Learning) utilizzando la piattaforma SICURDATA;

  • Soluzione B: Formazione e Addestramento in aula su tema specifico di riferimento (per un massimo di 15 figure per aula) suddividendo le sessioni in funzione del ruolo: incaricati, responsabili e amministratori di sistema;

  • Soluzione C: Formazione e Addestramento in modalità mista “BLENDED”.

4ᵃ
FASE: Mantenimento nuovo SGP: Sistema di Gestione Privacy

La normativa impone e obbliga al Titolare di prevedere sistemi di controllo per l’applicabilità del proprio sistema privacy che deve essere costantemente aggiornato al fine di precostituire una prova di aver ottemperato agli obblighi normativi in caso di eventuali contestazioni amministrative o penali.

Il C.C.P. di Sicurdata prevede una fase di mantenimento e aggiornamento del Sistema di Gestione Privacy e delle relative misure di sicurezza adottate e ritenute adeguate al soddisfacimento dei requisiti imposti dal Nuovo Regolamento EU.

Il contratto SICURDATA prevede:
  • Garanzia degli SLA di intervento e risposta per la gestione a pareri della ordinaria assistenza e manutenzione al Vostro SGP. Nel caso di straordinaria assistenza e manutenzione (casi tipo di straordinaria manutenzione e assistenza per introduzione sistemi di videosorveglianza e/o GPS, utilizzo di ulteriori soluzioni o sistemi CLOUD, biometria, RFID e altri sistemi c.d. “intelligenti” dal Garante della Privacy, supporto per eventuali ispezioni o richieste da parte degli itneressati) che determinano interventi diversi, gli stessi saranno quantificati con un’offerta a parte.

5ᵃ
FASE: Eventuale Nomina e incarico di Data Protection Officer

Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione di una nuova figura: il Data Protection Officer (DPO) o (come tradotto nel testo in italiano) il Responsabile della Protezione dei Dati (RPD).

La disciplina della figura del DPO è prevista agli art. 37 e 38 del Regolamento; il Gruppo di lavoro articolo 29 ha poi emanato Linee Guida per l’applicazione della nuova disciplina  del DPO già nel dicembre 2016, poi emendate il 5 aprile 2017.

L’attività di nomina della figura del Data Protection Officer o Responsabile della Protezione dei dati personali viene garantita individuando una figura con comprovate capacità ed esperienze certificate nel tema della sicurezza nel trattamento dei dati personali. Se la figura è interna non dovrà però avere conflitti di interesse.

La nomina verrà perfezionata tramite un atto scritto ad personam che prevederà un contratto almeno biennale con tacito rinnovo da pubblicizzare all’interno del proprio organigramma e da comunicare all’Autorità per dare evidenza del rispetto dell’adempimento.

Questa nuova figura, già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale con competenze informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

L’assenza di designazione del DPO secondo quanto previsto dall’art. 37 del Nuovo Regolamento Europeo prevede sanzioni fino a 10.000.000 di Euro, o per le imprese, fino al 2% del volume del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Le attività tipiche di questa nuova figura sono:

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo; e
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Restiamo in contatto!
Iscriviti alla mia newsletter

Richiedi informazioni

Compila il form e verrai ricontattato al più presto.