un documento che va mantenuto costantemente aggiornato e contiene le principali informazioni relative alle operazioni di trattamento svolte dall’azienda.
Il registro deve contenere diverse sezioni in cui vanno raccolte le finalità del trattamento, le categorie dei soggetti interessati e dei dati personali, le informazioni relative all’eventuale trasferimento dei dati personali verso un paese terzo, i termini di cancellazione dei dati e le misure di sicurezza adottate
La DPIA è richiesta dal regolamento per i trattamenti con rischio elevato per i diritti e le libertà fondamentali della persona (come, per esempio, i trattamenti su larga scala), ma non solo. In base al principio di accountability la realizzazione della DPIA è una prassi consigliabile per tutti i trattamenti, in quanto capace di rendere pienamente consapevole il titolare della necessità e della proporzionalità delle attività di trattamento.
La predisposizione di lettere di autorizzazione a ciascuno dei soggetti che operano con i dati personali è vivamente consigliata nello spirito di una concreta responsabilizzazione condivisa del personale interno ad una organizzazione.
La valutazione delle misure più efficaci da adottare deve essere fatta caso per caso in base ai trattamenti effettuati ed ai rischi connessi per predisporre delle misure tecniche ed organizzative idonee per la protezione dei dati.
Ad esempio per un sito di e-commerce potrebbe essere di fondamentale importanza prevedere le apposite procedure per la conservazione delle credenziali di accesso
Oltre all'auto-segnalazione al Garante, per il titolare del trattamento è obbligatorio tenere un apposito registro in caso di successive verifiche sul rispetto del GDPR. Tale documento deve contenere tutti i dettagli relativi alla violazione occorsa, comprese le cause che l’hanno generata, i dati personali coinvolti, le conseguenze ed i rimedi adottati.
Spesso i siti di e-commerce usano aziende esterne per varie attività come banalmente l’invio di mail di marketing o la società di spedizioni fisiche dei prodotti. In questo bisogna predisporre un contratto ad hoc che disciplini le modalità di trattamento dei dati personali tramite questi canali ed il rapporto tra il titolare e responsabile del trattamento e queste aziende terze.
in caso di trattamenti di dati su larga scala, il titolare e il responsabile del trattamento deve comunicare al Garante Privacy il nominativo del Responsabile della Protezione dei Dati (ovvero il “DPO”). Il soggetto designato - che può essere interno oppure esterno - avrà poi il compito di sorvegliare autonomamente il pieno rispetto del GDPR.
La Guardia di Finanza e il Garante della Privacy stanno effettuando controlli sempre più serrati a causa dell’aumento esponenziale dei casi di violazioni della sicurezza, ma non è questa l’unica cosa che deve preoccuparti.
Difatti un attacco informatico che causa un cosiddetto “data breach” ha conseguenze maggiori di quello che puoi pensare. Una scorretta gestione dei dati andrà a minare in maniera profonda la fiducia dei tuoi clienti, ti può esporre a controversie legali e - come se non bastasse - ti costerà fior di quattrini sia per pagare il riscatto richiesto dagli hacker, che per il ripristino delle tue macchine.
Server, portatili, postazioni fisse e addirittura le stampanti possono essere compromessi al punto di dover essere sostituiti del tutto ed anche se fossero riparabili, il costo sarà sempre elevato.
Se pensavi che la questione della conformità alla GDPR e l’attenzione alla cyber security fossero qualcosa che interessa solo alle grandi aziende o quelle con tanti dipendenti sei fuori strada.
Da un lato è vero che le aziende più note sono vittime prestigiose, un attacco ai loro sistemi può creare danni incalcolabili e ci sono già stati casi di riscatti milionari come questi:
Dall’altro però è vero che più le aziende sono grandi, maggiore è la loro capacità di protezione, perché magari hanno un intero reparto dedicato solo alla cyber security.
In quest’ottica diventa molto più semplice per un hacker attaccare realtà più piccole e con minori difese, come PMI, studi professionali, attività su strada ed aziende con pochi dipendenti poiché in media adottano un livello di protezione basso o addirittura nullo.
La cosa davvero assurda infatti è che, anche ormai a distanza di qualche anno dall’uscita in vigore del regolamento europeo GDPR (General Data Protection Regulation), decine di migliaia le aziende si trovano ancora in una posizione di rischio elevatissimo, spesso perché pensano di non rientrare nella normativa.
Anche se inizialmente il GDPR sembrava orientato alle aziende con più di 250 dipendenti, in realtà ci sono alcuni passaggi che rendono di fatto obbligatorio per tutti l’adesione e la conformità alle varie disposizioni del regolamento.
Secondo queste precisazioni, di fatto qualunque attività commerciale, anche il singolo negoziante che abbia almeno un dipendente e quindi banalmente anche tutti i bar, ristoranti, officine, distribuzione, ecc. sono tenuti all’adeguamento normativo.
Si tratta di un servizio di consulenza preliminare gratuita senza impegno.
Se sei un imprenditore o stai per lanciare il tuo business, ti aiuteremo a conoscere meglio problemi e soluzioni per la corretta gestione della conformità normativa e della cyber security.
Siamo un’azienda di consulenza e servizi specializzata in maniera verticale su tutto quello che riguarda la conformità delle aziende alla normativa sulla GDPR e la Cyber Security.
I nostri pacchetti sono modulari, con soluzioni che ti permettono di raggiungere il massimo grado di protezione e la serenità di essere 100% conforme alle disposizioni di legge (quindi zero contestazioni e zero sanzioni da parte delle autorità) in maniera semplice ed immediata.
Easy GDPR ha la soluzione perfetta per te sia se parti da zero e non hai ancora provveduto a mettere in sicurezza la tua attività, sia se invece hai solo la necessità di integrare dei servizi aggiuntivi a quelli che hai già in essere.
Nonostante l’aumento degli attacchi, ancora troppe aziende si decidono ad allinearsi alle disposizioni previste solo quando ormai è troppo tardi.
Il risultato è che oltre al danno c’è la beffa, perché in caso di attacco (o di controlli delle autorità) devono sostenere i costi per il ripristino, i costi legati al danno d’immagine, le sanzioni previste per i mancati adempimenti ed infine anche l’acquisto della protezione specifica per l’azienda.
Spesso pensiamo che la polizza RC obbligatoria sia una spesa inutile a cui ci obbliga la legge, ma quando poi ti capita un sinistro benedici ogni singolo centesimo speso.
Cosa accade quando chi è coinvolto in un incidente è sprovvisto di polizza?
Diciamo che non vorremmo proprio essere nei suoi panni…
Ti assicuriamo il massimo grado di protezione e il supporto costante per tutte le attività necessarie all’adeguamento alla normativa attuale ed i suoi futuri aggiornamenti (è previsto un massivo intervento della commissione europea nei prossimi mesi).
Il processo di adeguamento è articolato e richiede un approccio in più fasi, ma non è complesso come sembra se ti fai affiancare da chi è specialista della materia come noi:
FASE 1: analisi dell’azienda e individuazione delle attività di trattamento necessarie;
FASE 2: valutazione dei rischi e implementazione di misure di sicurezza adeguate;
FASE 3: nomina - se necessario - del Responsabile per la protezione dei dati (DPO o RPD).
FASE 4: predisposizione della “Informativa Privacy” per tutti i soggetti interessati;
FASE 5: individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti;
FASE 6: redazione del Registro delle attività di trattamento.
Tutto questo riguarda solo la parte di conformità normativa, poi c’è ovviamente l’aggiunta dei servizi di Cyber Security necessari ad impedire ogni possibile attacco tramite malware, phishing, ransomware ed altri sistemi di usati dagli hacker.
La buona notizia è che puoi risolvere in un solo colpo tutte le necessità legate alla conformità GDPR e la protezione della tua azienda grazie ai servizi di Easy GDPR.
Il nostro sistema di protezione completa prevede un pacchetto con un costo mensile fisso e prevedibile, che comprende tutto ciò di cui hai bisogno.
Clicca sul bottone qui sotto e prenota subito una consulenza preliminare gratuita e senza impegno. Potrai parlare con un nostro esperto per individuare le soluzioni personalizzate per la tua attività:
Negli ultimi mesi potresti aver visto la campagna pubblicitaria del Garante della Privacy che recitava: “I tuoi dati sono un tesoro da proteggere insieme”.
Questo aumento del livello di allerta che ha portato le autorità a diffondere messaggi del genere è dovuto proprio al moltiplicarsi degli avvenimenti malevoli su siti istituzionali, aziende pubbliche e private di ogni dimensione.
Le notizie più recenti parlano di un attacco ai sistemi di Trenitalia, ma non è che l’ultimo di una serie di violazioni più o meno gravi.
Infatti l’obiettivo del Garante non è tanto il terrorismo psicologico legato alle possibili sanzioni (l’Italia è addirittura terza in Europa), quanto la volontà di mettere in guardia gli imprenditori e le aziende soggette al rispetto della normativa GDPR, così da prevenire, ridurre ed evitare - ove possibile - i danni collaterali come il furto dei dati degli utenti.
Anche a livello comunitario le autorità europee si stanno dando un gran da fare in questo senso per affinare le contromisure a questa escalation di attacchi di cyber criminali e per aiutare le aziende a comprendere che l’adeguamento al GDPR è un processo dinamico che necessita di monitoraggio continuo e che non si risolve con un unico adempimento.
I membri della commissione sono al lavoro per dare luce entro fine anno al cosiddetto “Regolamento ePrivacy”, che andrà ad integrare ed ampliare le prescrizioni già presenti nel GDPR.
Si applicherà sia alle persone fisiche che quelle giuridiche per migliorare innanzitutto la sicurezza e la riservatezza delle comunicazioni (compresi i “metadati” come ad esempio il mittente, l’ora e la posizione da cui è partita la comunicazione).
Infine andrà a disciplinare in maniera specifica tutta la materia che riguarda i cookies, a cui è dedicata un’intera sezione del testo su cui stanno lavorando in commissione e che potrebbe essere pubblicata entro il 2023, per poi entrare ufficialmente in vigore nel 2025, così da dare il tempo di comprenderne i meccanismi e predisporsi agli adeguamenti previsti.
La strategia vincente è adoperarsi per valutare insieme ad un professionista la tua situazione complessiva attraverso le fasi che abbiamo visto in precedenza e la prima azione concreta che puoi fare - a costo zero - è sfruttare la consulenza che stiamo mettendo a disposizione degli imprenditori che ancora non conoscono Easy GDPR.
Tutto quello che devi fare è cliccare sul bottone qui sotto per richiedere gratuitamente la tua consulenza preliminare che ci permetterà di analizzare le tue esigenze specifiche.
This Website is not a part of Facebook or Facebook Inc. Additionally, this site is NOT endorsed by Facebook in any way. Facebook is a trademark of Facebook Inc.
Disclaimer: The products and services sold on this web site are not to be interpreted as a promise or guarantee of earnings.
Questo sito non fa parte di Facebook o Facebook Inc. Inoltre, questo sito NON è approvato da Facebook in alcun modo. Facebook è un marchio registrato di Facebook, Inc.
Disclaimer: I prodotti/servizi venduti su questo sito NON costituiscono proiezione, promessa o garanzia di guadagno.