Forniamo la consulenza necessaria alle aziende per conformarsi al regolamento generale per la protezione dei dati UE 2016/679 (GDPR).
Il regolamento si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.
Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:

1. identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali
2. individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso, ma anche nella gestione del modello di funzionamento a regime
3. analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali, evidenziando gli assi del modello per i quali sono già state implementate delle azioni GDPR compliant, almeno in parte
4. mappatura preliminare dei trattamenti e creazione del registro dei trattamenti con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento, da legare a variabili quali le categorie di dati trattati e di interessati coinvolti, l’utilizzo di sistemi automatizzati e il trasferimento di dati extra UE;
5. identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti, per i quali è necessario valutare attentamente i rischi di non conformità
6. definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi, organizzate in funzione di cantieri e sotto-cantieri di lavoro facilmente riconducibili ai requisiti del regolamento
7. implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure.