Benvenuti nel nostro sito web

La GENERAL SERVICE LAB. offre consulenza aziendale e si propone come struttura di supporto alle imprese nei settori del Data Security GDPR 679/2016, Sicurezza sul Lavoro, Formazione, Antiriciclaggio, HACCP. 

Il nostro team è composto da professionisti competenti e qualificati, specializzati in diverse aree operative, il cui obiettivo è offrire alle aziende-clienti, ma anche a professionisti e commercianti, una pluralità di servizi altamente professionali

REGOLAMENTO UE 679/2016

Il 14 aprile 2016 è stato approvato definitivamente il Regolamento Europeo in materia di Data Protection (GDPR 216/679). La nuova norma va ad abrogare integralmente la direttiva 95/46/CE (Privacy) ed il D.Lgs 196/03 in materia di protezione dei dati personali ed è entrato definitivamente in vigore il 25 maggio 2018.

Il regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi, rilevanti per le aziende dal punto di vista sia economico (sanzioni fino al 4% del fatturato worldwide) sia reputazionale (possibili conseguenze di un incidente informatico che metta a rischio l’integrità o la riservatezza dei dati).

Tra i principi introdotti dal regolamento, una grande novità è costituita dal principio della “responsabilizzazione” (accountability nell’accezione inglese) dei titolari, ossia, dall’adozione di comportamenti proattivi volti a dimostrare la concreta adozione di misure necessarie ad assicurare l’applicazione del regolamento. In altri termini, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali all’interno della propria azienda.

 

Il GDPR e la normativa italiana

E’ stato pubblicato in Gazzetta ufficiale (n. 205 del 4 settembre 2018) il dlgs 10 agosto 2018, n. 101 (ai sensi dell’art. 13 della legge 25 ottobre 2017, n. 163 – legge di delegazione europea) recante disposizioni per adeguare la normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.

Si tratta, quindi, del decreto di raccordo tra la normativa italiana e il GDPR, che disciplina il passaggio dell’ordinamento italiano della privacy (disciplinato sino ad ora dalla Dir 95/46/CEE e dal vecchio Codice della privacy, dlgs 196/2003) al nuovo Regolamento, stabilendo cosa resta in vigore e cosa viene abrogato.

Nulla cambia ai fini degli adempimenti necessari per la messa a norma da parte delle attività.

Alla Luce di questo le aziende si trovano pertanto nella condizione di dover soddisfare nuove esigenze:

Privacy by Design

Privacy by design significa che ogni nuovo servizio o processo aziendale che utilizza i dati personali deve prendere in considerazione la protezione di quei dati. Le aziende devono essere in grado di dimostrare che hanno adottato un adeguato grado di sicurezza e che monitorano la compliance. In pratica, questo significa che la protezione dei dati deve essere un aspetto determinante lungo l'intero ciclo di sviluppo di un nuovo sistema.

 

Privacy by Default

Privacy by default significa semplicemente che quando un cliente acquista un nuovo prodotto o servizio vengono applicate automaticamente le impostazioni di privacy più rigorose. In altri termini, non dovrebbero essere necessarie modifiche manuali alle impostazioni sulla privacy da parte dell'utente. I titolari o responsabili del trattamento potranno archiviare dati solo per il tempo strettamente necessario a fornire un prodotto o servizio.

I NOSTRI SERVIZI

Il nostro Team di Consulenti offre un’attenta valutazione, mirata all’individuazione dei processi che comportano il trattamento dei dati personali (riferiti a clienti, agli utenti, ai fornitori e ai dipendenti), dall’analisi della situazione aziendale in merito al trattamento dei dati, alla distribuzione dei compiti all’interno dell’azienda stessa, dalla formazione dei suoi dipendenti, ai processi di audit e mantenimento di elevati standard di sicurezza;

Il Servizio offerto in ambito Privacy dalla GENERAL SERVICE LAB  è così strutturato:

 1 - DATA PROTECTION GAP ANALYSIS che comprende a titolo di esempio:

  • esame e censimento tipologie di dati personali, di interessati, di finalità, di tempo di conservazione dei dati
  • censimento flussi di dati interni ed esterni
  • esame dei documenti e contratti rilevanti ai fini dell’adeguamento normativo al GDPR
  • censimento rischi (in coordinamento con analisi tecnico-informatica)
  • Verifica informative per Sito internet e pagine social

2 – DESIGNAZIONI che richiedono a titolo di esempio:

  • Designazioni e contratto per responsabile di trattamento dati in Outsourcing;
  • Designazione e istruzioni scritte a dipendenti e collaboratori (ex incaricati di trattamento) + elenco dipendenti e collaboratori ( per ogni categoria di dipendenti o collaboratori )
  • Designazione amministratori di sistema + istruzioni ad amministratori di sistema + elenco amministratori di sistema

3 - POLICY E DISCIPLINARI INTERNI ottemperando ai seguenti punti:

  • Manuale degli adempimenti sul “Data Security”
  • Privacy policy adempimenti di dipendenti e collaboratori
  • Disciplinare interno per utilizzo di posta elettronica e Internet
  • Disciplinare interno su procedure da svolgere nel caso di data breach     
  • Disciplinare interno per l’esercizio dei diritti degli interessati                                                                    

 

4 - SICUREZZA per un piano completo che prevede: 

  • Effettuazione della DPIA, (Data Protection Impact Assesment) La valutazione d'impatto (PIA – Privacy Impact Assessment) è fondamentale per proteggere la privacy e la conformità dei processi e servizi al GDPR. Lo scopo della valutazione d'impatto è quello di produrre una descrizione sistematica delle attività di trattamento dei dati previste e di determinare la base giuridica per il trattamento. Le valutazioni d'impatto dovrebbero descrivere l'approccio che un'azienda adotterà per attenuare i rischi. L'esecuzione delle valutazioni d'impatto non deve essere un'attività di compliance isolata, ma incorporata nei processi esistenti in modo che i rischi potenziali e i costi riferiti alle correzioni siano chiari in fase di decisione e approvazione.
  • Effettuazione della Valutazione dei rischi degli asset informatici con piano di miglioramento
  • Istituzione del registro attività di trattamento.
  • Assistenza sull’attuazione delle misure di sicurezza
  • Assistenza sull’attuazione delle misure previste dal GPDP in materia di amministratori di sistema
  • Assistenza nella eventuale designazione del DPO (Data Protection officer)

4.1 – ASSUNZIONE DEL RUOLO DI DPO ESTERNO (Data Protection Officer) Responsabile della protezione dei dati. (Se Necessario)

I nostri Professionisti in grado di Svolgere il ruolo da DPO, possono vantare un’esperienza quindicennale nel campo della Protezione Dati Personali, oltre ad attestazioni di Qualità e Formazione acquisite nel tempo.

5 - ULTERIORI ATTIVITA’ tra le quali :

  • Redazione accordo tra contitolari di trattamento
  • Consulenza e richiesta nulla osta al DPL territoriale per installazione impianto videosorveglianza
  • Verifica preliminare GPDP
  • Misure di sicurezza e Misure idonee in settori speciali (telecomunicazioni, sanitario, pubbliche amministrazioni)
  • Assistenza e consulenza esterna nel caso di data breach
  • Assistenza e consulenza esterna nel caso di ispezioni e verifiche del GPDP (Garante Privacy)

6 - INFORMATIVE : La corretta (idonea) Informativa all’Interessato è il secondo presupposto di liceità di ogni Trattamento, l’Informativa quindi è un elemento chiave, anche perché spesso è l’unico Documento immediatamente “visibile”, ed è differente per ogni specifica esigenza

  • Predisposizione o revisione informativa sito Web;
  • Predisposizione o revisione informativa Clienti, Utenti, pazienti, dipendenti, collaboratori e ruoli aziendali (include diciture footer email)
  • Predisposizione o revisione moduli consenso sito web
  • Predisposizione o revisione altri moduli consenso                                                                                

 

7 –FORMAZIONE PER RESPONSABILI ED INCARICATI AL TRATTAMENTO 

Adeguate le Procedure organizzative, elaborata l’idonea documentazione, l’unica fonte di Rischio residuale risiede nel comportamento degli Operatori, dai Responsabili (interni ed esterni) agli Incaricati: per tale motivo la Formazione è la prima tra le Misure richieste.     

 

8 - ASSISTENZA E CONSULENZA PERIODICA in merito a: 

  • Revisione periodica della DPIA
  • Assistenza sull’attuazione delle misure previste dal GPDP in materia di amministratori di sistema
  • Assistenza al DPO (se interno)

Il Servizio comprende anche la revisione e l’aggiornamento della relativa manualistica e documentazione, sia per variazioni intervenute nella norma che nell’organizzazione aziendale, al fine di assicurare il corretto mantenimento delle Misure di Sicurezza implementate. Le Attività svolte variano in base alle necessità di Mantenimento nel tempo, a fronte di compenso annuo predefinito.

DATA PROTECTION OFFICER (DPO)

Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO)  in base a quanto previsto dal Regolamento (UE) 2016/679 e dalle Linee-guida del WP29

Il DPO è obbligatorio in qualsiasi caso in cui 

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • Da aziende le cui attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • da aziende, indipendentemente dal numero dei dipendenti, le cui attività principali del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Dalle Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato Pubblicate dal Garante per la Protezione dei Dati Personali del 26/03/2018:

 

Chi sono i soggetti privati obbligati alla sua designazione?

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:

Istituti di Credito; Imprese Assicurative; Sistemi di Informazione Creditizia; Società Finanziarie; Società di Informazioni Commerciali; Società di Revisione Contabile; Società di Recupero Crediti; Istituti di Vigilanza; Partiti e Movimenti Politici; Sindacati; Caf e Patronati; Società Operanti nel Settore delle "Utilities" (Telecomunicazioni, Distribuzione di Energia Elettrica o Gas); Imprese di Somministrazione di Lavoro e Ricerca del Personale; Società Operanti nel Settore della Cura della Salute, della Prevenzione/Diagnostica Sanitaria quali Ospedali Privati, Terme, Laboratori di Analisi Mediche e Centri Di Riabilitazione; Società di Call Center; Società che Forniscono Servizi Informatici; Società che Erogano Servizi Televisivi a Pagamento.

 

        Compiti e Responsabilità:

Il Responsabile della protezione dei dati dovrà, in particolare:

a)      sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;

b)     collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);

c)      informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;

d)     cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;

e)      supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento;

 

I nostri Professionisti in grado di Svolgere il ruolo da DPO, possono vantare un’esperienza quindicennale nel campo della Protezione Dati Personali, oltre ad attestazioni di Qualità e Formazione acquisite nel tempo.

Questo sito NON utilizza alcun cookie di profilazione, ma soltanto di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie Policy.
Se vuoi saperne di più sull’utilizzo dei cookie nel sito e leggere come disabilitarne l’uso, leggi la nostra informativa sui Kookie