Consulenza GDPR

Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 ed è divenuto direttamente applicabile in tutti gli Stati membri a far data dallo scorso 25 maggio 2018.

Il regolamento porta significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti avranno più responsabilità, ma potranno anche beneficiare di diverse semplificazioni; in caso di inosservanza delle regole sono previste sanzioni, anche elevate.

Cosa posso fare per adeguare la mia azienda?
Coloro che, a suo tempo, si sono conformati al D.Lgs. 196/03, ancora in vigore probabilmente sino al prossimo decreto di armonizzazione previsto entro agosto, hanno già implementato parte delle regole richieste dal nuovo regolamento; è quindi necessario un adeguamento alle nuove norme.

Possiamo fare da soli oppure abbiamo bisogno di un consulente?
Occorre valutare la struttura della organizzazione, principalmente in riferimento alla quantità e tipologia di dati trattati e alla complessità dei sistemi I.T.C. ; grandi quantità di dati, oppure alcune tipologie di dati (es. quelli sensibili o sanitari) hanno un rischio maggiore di causare effetti lesivi della dignità delle persone.
Complessi sistemi di trattamento, magari diffusi in varie sedi, sottostanno ad un elevato rischio di data-breach; il nuovo regolamento affida al Titolare del trattamento la responsabilità di definire policy, strumenti e misure atte a minimizzare il rischio di security incident.
Le grandi aziende che dispongono di una apposita “unità organizzativa privacy”, hanno le risorse per definire i percorsi per raggiungere la compliance; ritengo comunque che alcuni processi (e penso, come esempio, alle attività di valutazione Risk Management – ISO31000, alla implementazione del sistema di gestione della sicurezza delle informazioni – ISO27001 oppure alla creazione del sistema di Incident Response) dovranno essere coadiuvati da supporto specialistico. Tutte le altre aziende dovranno avvalersi di consulenti specializzati, specialmente nelle più importanti fasi di analisi, valutazione, implementazione e controllo.

Uffa, un’altra legge; ma noi dobbiamo lavorare!
Spesso è quello che mi sento dire durante il primo incontro nelle aziende; vediamo di capire bene la situazione attuale, che molti non hanno ben presente.
Dal 1 gennaio 2004, in Italia, è in vigore il D.Lgs. 196/03 , tuttora in vigore; nel febbraio 2012, all’interno di uno sciagurato Decreto Semplifica Italia, si sono introdotte modifiche alla applicazione del D.Lgs. 196/03, una delle quali eliminava l’obbligo della tenuta del D.P.S. per le aziende che trattano dati sensibili limitatamente ai propri dipendenti; molti hanno evinto che il codice sulla protezione dei dati non avesse più effetto. Non è così, il codice ha tuttora effetto e soprattutto debbono sempre essere applicate le misure di sicurezza dell’allegato B del codice. Purtroppo abbiamo visto i risultati di tutto ciò negli anni passati.

Cogliamo l’occasione per rafforzare le aziende italiane.
Il 2017 è stato il peggior anno per la sicurezza informatica delle nostre aziende; l’Italia si trova nella TOP TEN dei paesi più colpiti al mondo; nel giugno 2017, diverse importanti aziende italiane sono state coinvolte in un massiccio attacco da malware NotPetya, e alcune hanno dovuto chiudere per diversi giorni e mandare a casa i dipendenti. Era possibile evitarlo? Certamente, in questo caso occorreva aggiornare il S.O. degli elaboratori, come è reso obbligatorio dalle misure di sicurezza del codice sulla protezione dei dati personali, allegato B.

Chi è un consulente specializzato GDPR?
Non sono sufficienti perfetta conoscenza delle norme e bollini; il consulente alla protezione dei dati personali è un professionista che ha competenze, esperienza, formazione specifiche e multidisciplinari, e che da anni svolge attività di consulenza e formazione relative alla protezione dei dati personali e degli strumenti di trattamento. Rivolgetevi ad un consulente che, tra i pochi in Italia, ha svolto un seminario di formazione presso la sede del Garante per la Protezione dei Dati Personali, in piazza di Monte Citorio.

Riservatezza e consulenza globale.
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; motivo per il quale mi occupo personalmente di tutti gli aspetti, dal primo incontro alla valutazione finale. Qualora divenga necessario un supporto legale, abbiamo rapporti di collaborazione i migliori studi legali che si occupano di diritto informatico, anche internazionale.
Richiedete un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento.

Svolgo consulenza GDPR privacy sicurezza informatica in tutte le provincie della Toscana (Arezzo, Siena, Grosseto, Livorno, Lucca, Massa e Carrara, Pisa, Pistoia, Prato) e nelle regioni limitrofe (Lazio, Umbria, Emilia Romagna).