consulenza

Consulenza privacy GDPR

e-cons aiuta le imprese a conformarsi a tutte le normative Privacy dal GDPR ai provvedimenti del Garante e leggi riguardanti il trattamento dei dati personali. È inoltre disponibile un servizio legale completo.

Consulenza Privacy

Pianifichiamo il percorso più facile, veloce ed economico per adempiere agli obblighi previsti dal Regolamento UE.

Adeguamento GDPR

Valutazione dello stato attuale dell’azienda all’adeguamento al GDPR Privacy.

lucchetto 3d viola
Indice
01
Redazione delle informative privacy GDPR
02
Predisposizioni degli atti di nomina per gli incaricati-designati ai vari trattamenti privacy
03
Stesura degli atti di nomina nei confronti dei responsabili del trattamento
04
Consulenza privacy per redazione del registro dei trattamenti
05
Sviluppo dell’analisi dei rischi privacy
06
Valutazione obbligatorietà DPO RPD
07
Implementazione delle procedure per rispondere alle richieste degli interessati
08
Adozione procedura gestione Data Breach
09
Esame delle misure di sicurezza dei dati esistenti
10
Implementazione regolamento interno relativo all’utilizzo dei dispositivi informatici e posta elettronica
11
Valutazione d’impatto sulla protezione dei dati personali DPIA
12
Analisi privacy del sito internet aziendale

Contattaci o vieni a trovarci per avere maggiori informazioni.

consulenza privacy gdpr
Consulenza privacy e Adeguamento GDPR per la tua azienda

Servizio di assistenza e affiancamento al titolare del trattamento nell'analisi, nell'implementazione e nella redazione di tutti i documenti necessari.e-cons, attraverso il suo staff, è pronta a supportare aziende, studi professionali o altri enti per la consulenza privacy e per il raggiungimento della compliance privacy ossia la conformità, formale e sostanziale, alla normativa relativa al trattamento dei dati personali. Nello specifico, quindi, l’adeguamento privacy si svilupperà partendo da un’analisi preliminare della struttura aziendale al fine di esaminare la tipologia dei dati trattati in relazione all'attività svolta, in modo tale da poter individuare l’eventuale esistenza di criticità (rischio privacy), intervenendo per implementare le opportune soluzioni e una consulenza privacy su misura. A seguito dell’audit iniziale, sulla base delle informazioni raccolte dai nostri consulenti, si procederà con la predisposizione di tutti i documenti necessari al raggiungimento della documentazione privacy, in particolare:

1

Redazione delle informative privacy GDPR

Creazione per le varie categorie di interessati (clienti, dipendenti, candidati, …);

Uno dei principali adempimenti che il GDPR pone a carico del Titolare del trattamento è il dovere di fornire all’interessato l’informativa sul trattamento dati (art. 13-14 GDPR); ossia una serie di informazioni in merito alle finalità e alle modalità con cui saranno gestiti i dati personali raccolti, al fine di garantire trasparenza e correttezza.

L’informativa dovrà essere redatta utilizzando un linguaggio chiaro, semplice e comprensibile ed inoltre dovrà essere facilmente accessibile per l’interessato.

Tale documento deve quindi avere come contenuto minimo le seguenti indicazioni:

  • Categorie di dati personali trattati;
  • Identità e i dati di contatto del titolare del trattamento;
  • Dati di contatto del responsabile della protezione dei dati (DPO), ove nominato;
  • Le finalità di trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • Eventuali destinatari (o categorie di destinatari) di dati personali;
  • Eventuale intenzione del titolare di trasferire i dati in paesi extra UE;
  • Tempo di conservazione dei dati oppure l’indicazione dei criteri per determinarlo;
  • Diritti dell’interessato e riferimenti per l’esercizio degli stessi;
  • Natura obbligatoria o facoltativa del conferimento dei dati e le eventuali conseguenze del rifiuto;
  • Eventuale esistenza di processi decisionali automatizzati (come la profilazione).

Chiaramente, laddove con il tempo le finalità di trattamento dovessero cambiare, il GDPR impone di informare l’interessato prima di procedere al nuovo trattamento, e sarà quindi necessario fornire una nuova informativa.

L’informativa privacy dovrà inoltre essere strutturata in base alla categoria d’interessati a cui si rivolge; pertanto, sarà necessario prevedere una specifica informativa per clienti ma anche una ad hoc per i dipendenti, così come per i candidati che si presentano ad un colloquio.

Discorso a parte, ma affine, è quello che riguarda il sito internet aziendale. In esso infatti dovrà essere presente una sezione dedicata alle privacy policy all’interno della quale sarà necessaria la presenza, tra le altre, anche di un’apposita informativa dedicata ai cookie eventualmente presenti. Essa dovrà esplicare le modalità per il consenso all’uso dei cookie, le modalità per la disabilitazione dei cookie e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.

Conclusivamente, è opportuno ricordare che non fornire l’informativa sul trattamento dati è uno dei comportamenti che il GDPR punisce con le sanzioni (economicamente) più elevate.

Redazione delle informative privacy GDPR
2

Predisposizioni degli atti di nomina per gli incaricati-designati ai vari trattamenti privacy

Gli autorizzati o designati al trattamento sono una categoria di soggetti, riconosciuti dal GDPR, a cui il titolare (o il responsabile), possono delegare compiti e funzioni relative al trattamento dei dati personali. Tali soggetti sono quindi le persone fisiche che operano sotto la sua autorità, fondamentalmente i dipendenti o i collaboratori che materialmente operano sui dati personali raccolti dal titolare.

Il titolare (o il responsabile del trattamento), una volta individuati, ai soggetti “autorizzati” stabilirà in modo univoco a quali banche dati ha accesso e quali attività di trattamento la risorsa è autorizzata a compiere, prevendendo inoltre quelle che saranno le modalità più opportune per eseguire il trattamento.

La nomina di autorizzato (o designato) al trattamento dei dati è un adempimento essenziale per il titolare del trattamento, la quale non deve limitarsi a una mera attribuzione formale ma deve essere completata da tutte le indicazioni per svolgere le attività in modo adeguato.

Il titolare del trattamento attraverso l'aiuto del consulente privacy GDPR, per mezzo degli atti di nomina, deve quindi:

  • Fornire ai soggetti designati al trattamento le istruzioni operative necessarie al corretto svolgimento delle loro attività; l’autorizzato dovrà poi attenersi strettamente alle istruzioni ricevute;
  • Indicare alle persone autorizzate gli obblighi inerenti alle misure di sicurezza;
  • Provvedere alla formazione degli incaricati.

e-cons mette a disposizione il servizio di consulenza privacy che affiancherà l’azienda cliente, specialmente nelle province di Rovigo e Padova, nell’inquadratura di tali ruoli e nella redazione di specifici atti di nomina per la designazione del personale autorizzato ai vari trattamenti.

Predisposizioni degli atti di nomina per gli incaricati-designati ai vari trattamenti privacy
3

Stesura degli atti di nomina nei confronti dei responsabili del trattamento

L’art. 28 del GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento ma da un soggetto esterno alla realtà aziendale, quest’ultimo debba essere preventivamente incaricato di ciò mediante un apposito atto che disciplini questo trasferimento di dati; il titolare infatti, in questi casi, delega al responsabile la gestione di uno specifico trattamento.

Il rapporto titolare - responsabile è disciplinato da un contratto o altro atto giuridico che vada a regolamentare:

  • La natura del rapporto;
  • Le finalità del trattamento;
  • Il tipo di dati personali;
  • Le categorie di interessati;
  • Gli obblighi e i diritti del titolare del trattamento.

Quindi, assume la qualifica di “responsabile del trattamento dei dati” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Considerato che sul titolare del trattamento vige l’onere di fornire adeguate garanzie per assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché tutelare l’interessato garantendone i diritti previsti dal GDPR, egli dovrà avvalersi di Responsabili (del trattamento) che presentino garanzie adeguate e che mettano in atto misure tecniche e organizzative per la protezione dei dati personali secondo le disposizioni contenute nel Regolamento UE 2016/679.

e-cons affiancherà l’azienda cliente nell’individuazione di tutte queste figure e si occuperà della redazione dei contratti di nomina per responsabili del trattamento a seguito di un preventivo consulenza privacy.

Stesura degli atti di nomina nei confronti dei Responsabili del trattamento
4

Consulenza privacy per Redazione del registro dei trattamenti

In veste di Titolare del trattamento  e laddove necessario si predisporrà anche il registro in qualità di Responsabile del trattamento;

Tra gli adempimenti prescritti dal GDPR in capo alle aziende che eseguano attività di trattamento di dati di persone fisiche, vi è l’elaborazione (in forma scritta o elettronica) del “Registro delle attività di trattamento dei dati personali”.

Il registro dei trattamenti è quindi un documento che va ad analizzare l’intero flusso dei dati aziendali andando ad individuare, in relazione ad ogni trattamento:

  • La descrizione dell’attività di trattamento;
  • Le finalità per il quale il trattamento viene posto in essere;
  • Le basi giuridiche che rendono lecito quel trattamento dati;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • L’individuazione delle categorie di destinatari a cui i dati personali raccolti sono o saranno comunicati;
  • Eventuali trasferimenti in paesi extra UE;
  • I termini ultimi previsti per la cancellazione per le diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Ogni titolare e ogni responsabile del trattamento dei dati quindi deve attivarsi per redigere e mantenere aggiornato il registro delle attività di trattamento svolte sotto la propria responsabilità.

e-cons grazie al consulente privacy GDPR mette a disposizione tutta la sua esperienza per affiancare l’azienda cliente nella redazione di specifici registri delle attività di trattamento per titolari e responsabili del trattamento.

Consulenza privacy per Redazione del registro dei trattamenti
5

Sviluppo dell’analisi dei rischi privacy

in relazione ai trattamenti posti in essere dall’azienda ed esame in base alla rischiosità dei trattamenti effettuati;

Uno degli obblighi in carico al Titolare (e del Responsabile del trattamento dei dati), imposti dal regolamento UE 2016/679, è la sicurezza dei dati personali. La sicurezza nel regolamento equivale ai concetti di confidenzialità, integrità e disponibilità e segue un approccio risk-based.

Più alto è il rischio, maggiori devono essere le misure che Titolare o Responsabile del trattamento devono adottare per ridurre il livello di rischio.

Il titolare del trattamento deve quindi adottare comportamenti che dimostrino la concreta attuazione di misure finalizzate ad assicurare la protezione dei dati personali e l’applicazione del GDPR. L’analisi dei rischi dei trattamenti effettuati dall’azienda si configura come una risposta all’accountability richiesta.

Attraverso l’analisi dei rischi, infatti, si procede con un esame del flusso dei dati, delle metodologie di trattamento e delle misure di sicurezza previste per ciascuno dei trattamenti posti in essere.

L’analisi e la valutazione si svolge in più fasi:

  • Individuazione della tipologia di dati personali e dei trattamenti effettuati in azienda;
  • Identificazione delle minacce, dei potenziali danni e della relativa probabilità di accadimento;
  • Attuazione delle misure di protezione da applicare e programmazione delle verifiche periodiche;
  • Valutazione del rischio residuo.

e-cons basa questa valutazione sulla metodologia ENISA (European Union Agency for Network and Information Security) alla quale è stata aggiunta l’analisi sui rischi fisici. Poiché l’approccio risk-based è parte integrante della valutazione d’impatto (DPIA), la disponibilità di documenti sulla valutazione del rischio facilita la compilazione, anche su base volontaria, della DPIA.

La valutazione del rischio è opportuno sia verificata e sottoposta a revisione su base annuale.

Sviluppo dell’analisi dei rischi privacy
6

Valutazione obbligatorietà DPO RPD

La privacy consulenza permette di decidere circa la necessità o meno di procedere con la nomina del DPO.

Quando è obbligatorio il DPO?

Il GDPR (General Data Protection Regulation) UE 2016/679 all’art. 37 stabilisce che il Titolare del trattamento e il responsabile del trattamento sono obbligati a designare sistematicamente un “Responsabile della Protezione dei Dati” (RPD) in tre casi specifici:

  • Se il trattamento è effettuato da un’“autorità pubblica” o da un “organismo pubblico”, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;
  • Se le “attività principali” del Titolare o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”;
  • Se le “attività principali” del Titolare o del Responsabile del trattamento consistono nel trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari).

Le Linee Guida sui responsabili della protezione di dati (DPO) WP243 rev. 01 elaborate dal Gruppo di lavoro ex art.29 (WP29) raccomandano ai Titolari del trattamento e ai Responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti richiamati all’art. 24, paragrafo 1.

Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione.

Valutazione obbligatorietà DPO RPD
7

Implementazione delle procedure per rispondere alle richieste degli interessati

Il GDPR riconosce in capo all’interessato, ossia il soggetto di cui vengono trattati i dati personali, una serie di diritti:

  • Richiesta di maggiori informazioni (art. 5)
  • Diritto all’informativa sul trattamento dati (art. 13)
  • Diritto di accesso (art. 15)
  • Diritto di rettifica (art. 16)
  • Diritto di cancellazione (diritto all’oblio) (art.17)
  • Diritto di limitazione del trattamento (art. 18)
  • Diritto alla portabilità dei dati (art. 20)
  • Diritto di mandato a terzi (art. 80)
  • Diritto al risarcimento (art. 82)
  • Diritto all'informazione per data breach (art. 33)
  • Diritto al contatto con il DPO (art. 26)
  • Diritto di proporre reclamo all'autorità di controllo (art. 77)

È quindi compito del Titolare del trattamento garantire all’interessato la possibilità di esercitare, senza pregiudizio, i suoi diritti prevendendo un’apposita procedura per la gestione delle richieste.

Un approfondimento del Garante Privacy riguardo ai diritti degli interessati.

Implementazione delle procedure per rispondere alle richieste degli interessati
8

Adozione procedura gestione Data Breach

Un adeguato sistema privacy non può non prevedere la gestione di un eventuale Violazione dei dati.

Con data breach s’intende una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; è quindi una violazione dei dati personali che può compromettere la riservatezza, l’integrità o la disponibilità di dati stessi.

Si può configurare un data breach non solo nel caso di un attacco informatico (virus, cryptolocker, …) ma anche qualora si verifichi:

  • Un accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • Il furto o la perdita di dispositivi informatici contenenti dati personali;
  • La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, o la deliberata alterazione degli stessi;
  • La divulgazione non autorizzata dei dati personali.

Qualora dunque si concretizzi un data breach, Il titolare del trattamento (entro 72 ore dal momento in cui ne è venuto a conoscenza), deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche coinvolte.

Nel caso in cui il data breach si verifichi con riferimento ad un responsabile del trattamento egli è tenuto a informare tempestivamente il titolare in modo che possa attivarsi con la procedura di cui sopra.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto delle potenziali conseguenze (si pensi ad esempio al caso in cui siano violati dei database contenti le password; informare tempestivamente gli interessati consente loro di andarle a modificare quanto prima).

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro.

e-cons, sulla base degli art. 33 e 34 del GDPR, è solita predisporre apposti documenti quali:

  • Registro delle violazioni;
  • Modulo di comunicazione del data breach all’Autorità di controllo;
  • Modulo di comunicazione del data breach all’interessato.
Adozione procedura gestione Data Breach
9

Esame delle misure di sicurezza dei dati esistenti

Il GDPR prescrive che i dati siano trattati in modo da garantire un’adeguata sicurezza, mediante opportune misure tecniche e organizzative.

Le misure di sicurezza hanno il fine di proteggere i dati da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Tali misure dovranno essere quindi adottate tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Va precisato però che il GDPR non parla di misure di sicurezza “specifiche” ma di “adeguate” misure di sicurezza.

All’art. 32 si fa riferimento all’applicazione, se del caso:

  • Alla pseudonimizzazione e cifratura dei dati personali: la pseudonimizzazione permette di non avere riconducibilità diretta dei dati personali, così come il dato cifrato non risulta leggibile ai soggetti sprovvisti della chiave di decodifica;
  • Alla capacità di assicurare, su base permanente, la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento: i sistemi ove sono ospitati i dati devono essere sicuri e garantire l’integrità dei sistemi informatici;
  • Alla capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico: utilizzando ad esempio sistemi di backup;
  • Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  • Resilienza dei sistemi, ossia la capacità di resistere agli eventi negativi.

All'interno della consulenza per privacy viene valutato l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Il titolare deve quindi fare in modo che chiunque agisca sotto la sua autorità o abbia accesso ai dati personali non li tratti se non è istruito e designato a quel trattamento.

Ad ogni modo, qualunque misura tecnica e organizzativa, non sarà mai realmente efficace se, gli autorizzati non fanno parte del processo di adeguamento. Così come l’infrastruttura e i sistemi di trattamento dati potrebbero essere aggiornati, anche il personale addetto deve essere informato e formato sulle nuove procedure e norme.

Parallelamente alle misure di sicurezza informatica, andranno analizzate anche la sicurezza “fisica” dei locali, ossia la presenza di sistemi atti a prevenire eventi che potrebbero compromettere i dati quali ad esempio incendi, allagamenti, intrusioni, etc.

e-cons infatti, nell’eseguire l’adeguamento normativo al GDPR, è quindi solita inviare i propri consulenti privacy del territorio di Padova e Rovigo, presso le aziende clienti proprio al fine di poter eseguire anche un sopralluogo fisico atto a verificare la presenza di eventuali criticità e studiare le possibili soluzioni che il caso concreto richiede.

Esame delle misure di sicurezza dei dati esistenti
10

Implementazione regolamento interno relativo all’utilizzo dei dispositivi informatici e posta elettronica

Per le aziende è ormai prassi consolidata l’implementazione di specifici regolamenti e/o procedure che vadano a disciplinare la “vita in azienda” sia dal punto di vista comportamentale sia per quello lavorativo. Raramente però vengono introdotti regolamenti interni che vadano a prevedere le regole comportamentali da seguire per la gestione dei dati personali e per l’utilizzo degli strumenti elettronici quali ad esempio pc, telefoni aziendali o l’account di posta elettronica aziendale.

L’applicazione di quest’ultima tipologia di regolamenti è però utile per evitare (e prevenire) condotte che, anche inconsapevolmente, possono comportare rischi alla sicurezza del sistema informativo aziendale: i regolamenti hanno lo scopo di dettare le procedure da adottare per una corretta e adeguata gestione dei dati personali gestiti in azienda.

Chiaramente, tali regolamenti devono essere preventivamente illustrati e spiegati ai dipendenti e a tutti i soggetti che, a vario titolo, sono incaricati a trattare i dati; successivamente quindi si procederà con la sottoscrizione del regolamento (per presa visione), da parte di ogni soggetto tenuto a rispettare il suddetto regolamento.

Poiché i dati personali trattati durante la prestazione lavorativa sono patrimonio aziendale e tutti gli strumenti informatici affidati ai dipendenti sono strumenti di lavoro, ogni utilizzo non inerente all’attività lavorativa può costituire una minaccia alla sicurezza (si pensi al caso limite in cui un dipendente, durante l’attività lavorativa decida di scaricare per finalità personali un file e che lo stesso contenga un virus che va a compromettere la struttura informatica aziendale); è quindi fondamentale che la persona autorizzata al trattamento sia ben consapevole che i dati personali e gli strumenti elettronici forniti sono di proprietà dell’azienda e devono essere utilizzati esclusivamente per lo svolgimento della prestazione lavorativa.

e-cons è disponibile per affiancare il titolare del trattamento nella redazione dei regolamenti aziendali specifici per la propria realtà lavorativa e in applicazione del GDPR.

Implementazione regolamento interno relativo all’utilizzo dei dispositivi informatici e posta elettronica
11

Valutazione d’impatto sulla protezione dei dati personali DPIA

Ai sensi dell’art. 35 GDPR, la DPIA (Data Protection Impact Assessment, valutazione d’impatto sulla protezione dei dati personali), è necessaria quando l’elaborazione dei dati “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Tanto premesso quindi, il Titolare del trattamento prima di porre in essere un’attività che possa comportare dei rischi in relazione al trattamento dati, deve procedere con una valutazione sull’impatto che tale trattamento può avere sulla protezione dei dati stessi.

La DPIA basandosi su un’analisi preventiva dei pericoli e sulla valutazione del rischio che ne deriva, mira a garantire trasparenza sulle operazioni poste in essere sui dati personali raccolti ed al contempo consente l’adozione di misure di sicurezza che, in sua assenza, potrebbero non essere implementate fin dall’inizio non essendo ancora state valutate le eventuali minacce.

Ad oggi, il Garante italiano ha individuato dodici tipologie di trattamenti soggette ad obbligo di DPIA, peraltro non esaustivi:

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che implicano la profilazione degli interessati nonché lo svolgimento di attività predittive, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”;
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” sull’interessato (esempio assunzione, concessione del prestito, …), comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati (esempio videosorveglianza);
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza);
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. riconoscimento facciale; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; tracciamenti di prossimità come ad es. il wi-fi tracking);
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse (esempio estratti del casellario giudiziale);
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Considerata la particolare delicatezza degli interessi in gioco, e-cons è disponibile a seguire l’azienda cliente nell’intero progetto di elaborazione della DPIA e a offrire una consulenza privacy in base alle esigenze di ogni realtà.

Valutazione d’impatto sulla protezione dei dati personali DPIA
12

Analisi privacy del sito internet aziendale

Un sito internet aziendale richiede l’indicazione di alcune informazioni obbligatorie, alcune delle quali sono:

  • L’indicazione della partita iva in homepage;
  • L’indicazione della ragione sociale;
  • L’indicazione della sede legale;
  • L’iscrizione ufficio del registro;
  • Il numero di repertorio economico amministrativo (REA);
  • Il capitale in bilancio effettivamente versato;
  • L’eventuale liquidazione in seguito a scioglimento;
  • L’eventuale stato di società con unico socio;
  • L’indirizzo di posta elettronica certificata (PEC).

In relazione al trattamento dei dati personali che possono essere raccolti dal sito aziendale, sarà inoltre necessario procedere con l’inserimento di specifiche policy, come:

  • Cookie policy;
  • Privacy policy;
  • Newsletter policy ed altre.

Particolari attenzioni poi sono richieste da alcune sezioni talvolta presenti nei siti:

  • La sezione “lavora con noi”;
  • La sezione o banner dedicati all’iscrizione alla newsletter;
  • La sezione “contattaci”;
  • L’e-commerce.

Per ciascuna di queste sezioni dovranno inoltre essere abbinate specifiche check box per la raccolta dei consensi.

Inoltre dovrà essere analizzato anche il protocollo di trasmissione convertendolo, laddove non sia già stato fatto, in HTTPS.

e-cons è quindi disponibile a collaborare con la web-house dell’azienda cliente al fine di fornire una consulenza sulla privacy qualificata e tecnica, informazioni e documenti necessari alla regolarizzazione normativa del sito aziendale in base alle esigenze di ogni realtà.

 

L’intero processo di adeguamento non si limita alla sola stesura dei documenti, ma una volta completati, i nostri consulenti privacy saranno a disposizione per guidarvi nell’implementazione degli stessi all’interno dei processi aziendali.

In base ad ogni esigenza verrá creato un'offerta consulenza privacy. Il listino prezzi consulenza privacy si basa anche sullo svolgimento in presenza dell'attivitá nelle seguenti province: Padova, Rovigo, Bologna, Ferrara ed in genere nella Regione Veneto ed Emilia-Romagna.

Analisi privacy del sito internet aziendale
13

L’intero processo di adeguamento non si limita alla sola stesura dei documenti, ma una volta completati, i nostri consulenti privacy saranno a disposizione per guidarvi nell’implementazione degli stessi all’interno dei processi aziendali.

In base ad ogni esigenza verrá creato un'offerta consulenza privacy. Il listino prezzi consulenza privacy si basa anche sullo svolgimento in presenza dell'attivitá nelle seguenti province: Padova, Rovigo, Bologna, Ferrara ed in genere nella Regione Veneto ed Emilia-Romagna.

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
Regolamento (UE) 2016/679

Scarica

Hai bisogno di una consulenza privacy?

Noi possiamo aiutarti!

Compila il modulo e ti risponderemo al più presto!

Mandaci una email
info@e-cons.it
Chiamaci
0425 485621
icon e-cons

Fantastico!
Grazie per aver completato il nostro modulo!

La tua richiesta è stata inviata con successo, il nostro team ti ricontatterà a breve.
In tanto scopri alcuni contenuti che abbiamo per te!
Ops! Qualcosa è andato storto durante l'invio del modulo.