A partire dal 25 maggio 2018 è applicabile in tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR ha ridisegnato il concetto di privacy introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento.
Per essere conformi al GDPR occorre rivedere le proprie policy e, se necessario, adeguarle alle richieste del regolamento instaurando anche una analisi e piano di trattamento dei rischi a seguito della valutazione di impatto sulla protezione dei dati (DPA).
La Quaser Srl si propone per la gestione delle seguenti attività:
- Nomina del responsabile del trattamento (RPD – DPO)
Il responsabile, designato anche all’interno della Quaser S.r.l., viene individuato dal titolare tramite una lettera di nomina, dove sono specificati tutti i compiti che lo riguardano (facsimile preparato dalla QuaSer).
- Redazione della lettera contenente l’informativa da inviare all’interessato indicante in linea di massima:
- i dati del titolare del trattamento
- i dati di contatto del responsabile della protezione dei dati
- le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale
- il periodo di conservazione dei dati personali
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- i diritti dell’interessato;
- l’esistenza di un processo decisionale automatizzato,
(Il facsimile della lettera verrà preparato dalla QuaSer e verterà su clienti, agenti, dipendenti e collaboratori, ecc.)
- Redazione della lettera contenente l’informativa da inserire nel sito internet compresa la gestione dei cookies e delle attività di trattamento dati elettronici.
- Redazione dell’analisi dei rischi contenente informazioni riguardo:
- Valutazione dei rischi: Identificazione dei rischi con valorizzazione degli asset
- identificazione delle vulnerabilità e delle minacce, calcolo degli impatti;
- Analisi e ponderazione dei rischi, valutazione delle probabilità,
- determinazione dell’indice di esposizione al rischio e dei relativi criteri di accettazione
- Identificazione e valutazione delle opzioni per il trattamento dei rischi, piano di trattamento dei rischi
- (Documento preparato dalla QuaSer in accordo alla ISO 27001)
- Preparazione delle procedure richieste quali:
- documento di comunicazione delle eventuali violazioni della privacy e mansionario da rendere disponibile a tutti gli incaricati al trattamento dati.
Garante della privacy