PRIVACY & GDPR

PRESENTAZIONE

A pochi mesi dall’entrata in vigore del Regolamento Europeo n. 679/2016 in materia di Protezione dei Dati Personali, le proponiamo un servizio di verifica di conformità riguardo la corretta applicazione della normativa privacy nella sua azienda, in modo da identificare le eventuali modifiche da applicare entro per il 2018, termne a seguito del quale potranno essere elargite sanzioni.

Sanzioni previste dal regolamento GDPR
“..molti articoli riguardanti il GDPR sottolineano le sanzioni pecuniarie associate al GDPR, che possono arrivare fino a 20 milioni di euro o, per le imprese, al 4% del fatturato annuo globale.“
Le sanzioni, in realtà, rappresentano solo una minima parte dei costi totali di una violazione dei dati. E soprattutto, le violazioni dei dati solitamente hanno conseguenze di ampia portata sotto forma di contrazione del fatturato, danno di immagine, riduzione della produttività e così via. Per questo motivo è imprescindibile investire in una soluzione adeguata per la prevenzione, il rilevamento e la risposta alle violazioni.

PIANO DI VERIFICA

Il servizio sarà erogato in presenza di un responsabile IT oppure un responsabile risorse umane, in ogni caso di una vostra figura interna che si è occupata precedentemente dell’applicazione della normativa privacy D.Lgs. 196/2003 e/o che abbia una conoscenza di sicurezza informatica e di trattamento banche dati.

Il ns. Audit verrà eseguito da 3 figure professionali organizzate per semplificare e velocizzare il controllo.
- Esperto Sicurezza (Dati)
- Esperto Sicurezza Informatica (Software)
- Esperto in Gruppi di Continuità (Hardware)
Nota: durante l’Audio l’Azienda dovrà assicurare la presenza della persona/e che si occupa di trattamento dati e Privacy.

FASI OPERATIVE INIZIALI

1. Data Mapping
a) Verifica corretta individuazione delle banche dati trattate e classificazione dei dati;
b) Verifica corretta individuazione degli archivi digitali e analogici contenenti i dati;
c) Verifica corretta individuazione dei trattamenti interni;
d) Verifica corretta individuazione dei trattamenti in outsourcing;
e) Verifica delle informative privacy (Clienti, Fornitori; Personale dipendente, Videosorveglianza, ecc.)

2. Protezione dei dati personali
a) Verifica presenza dei contratti di fornitura con i soggetti esterni coinvolti dal trattamento dei dati;
b) Verifica applicazione delle misure minime di sicurezza alla struttura informatica e agli archivi cartacei;
c) Verifica corretta applicazione degli adempimenti previsti dal Provvedimento del Garante 27 Novembre 2008 (Amministratori di sistema);
d) Verifica presenza modulo per l’inoltro della Notifica al Garante Privacy del D.lgs. 196/03
e) Verifica presenza procedure operative backup e disaster recovery.

3. Controllo a distanza dei lavoratori
a) Verifica e corretta applicazione degli adempimenti previsti dal Provvedimento del Garante Privacy 8 Aprile 2010 (Videosorveglianza) e dall’Art. 4 della Legge 300/70 (Statuto dei lavoratori);
b) Verifica presenza e, nel caso, applicazione degli adempimenti previsti da altri Provvedimenti del Garante Privacy specifici (ad esempio Geolocalizzazione, Geotimbratura, ecc.);
c) Verifica accesso ai Log di navigazione e agli account di posta elettronica;
d) Modalità di archiviazione e conservazione dei dati del personale dipendente;
e) Verifica presenza di policy aziendale sull’utilizzo dei sistemi informatici aziendali, dei device e degli archivi cartacei;
f) Trattamento dei dati dopo l’interruzione del rapporto di lavoro. (buste paga e/o fatture)

4. Sito web aziendali e profili social network
a) Verifica della comunicazione delle informazioni societarie obbligatorie;
b) Verifica delle informative cookie e relative a form presenti sul sito;
c) Verifica della presenza contratto di fornitura stipulato con la web agency;
d) Verifica delle Garanzie fornite dal provider che fornisce il servizio di hosting;

5. Redazione verbale di audit

6. Rilascio di una relazione con evidenziate le eventuali non conformità e le indicazioni delle azioni correttive propedeutiche alla dimostrazione del principio di adeguatezza richiesto dal Regolamento Europeo sulla Privacy.


FASI OPERATIVE DI ADEGUAMENTO (successive all’Audit iniziale)

7. Mappatura dei Processi di Trattamento Dati
in merito a quanto emerso dall’audit iniziale verranno mappati i trattamenti individuati

8. PIA – Valutazione dei Rischi sui Processi di Trattamento indicati
in merito alla tipologia di trattamento verranno valutati i rischi relativi alle seguenti aree:
· Conservazione e Sicurezza dei dati personali;
· Durata Conservazione Informazioni;
· Modalità di Conservazione Informazioni Personali;
· Fonti di Raccolta dei Dati;
· Scopo Raccolta Informazioni

9. Redazione Informativa sul Trattamento dei Dati
in merito alle esigenze aziendali verranno realizzate le informative:
· Interna (in caso di lavoratori dipendenti)
· Esterna
· Web (in caso di presenza di sito web o pagine social)

10. Redazione delle Procedure e dei Modelli per la gestione della Privacy aziendale
 
DOCUMENTAZIONE DA METTERE A DISPOSIZIONE (ove presente)

Durante la verifica sarà necessario che l’azienda renda disponibile la seguente documentazione:
· Eventuali Informative privacy utilizzate (clienti, fornitori, dipendenti, ecc);
· Eventuali Lettere di nomina Responsabili Esterni del trattamento;
· Eventuali Lettere di nomina degli incaricati al trattamento;
· Eventuali Lettere di nomina Amministratori di sistema, se presenti;
· Eventuale Regolamento aziendale per l’utilizzo apparecchiature informatiche o eventualmente altri strumenti di lavoro;
· Eventuale Ultimo DPS redatto;
· Eventuale Documentazione relativa ad eventuale impianto di videosorveglianza e/o geolocalizzazione;
· Eventuali Contratti stipulati con fornitori in outsourcing.
 
CONTATTACI per informazioni:

FR2 Service S.r.l.

Tel. 0375.780093
mail: fr2service@gmail.com