Si individuano tutti gli accadimenti “avversi” (per la tutela delle persone) che possono applicarsi ai dati ed ai trattamenti, e si effettua una stima della probabilità e della gravità degli stessi, allo scopo di calcolare il livello di rischio relativo ad ogni trattamento. Per i trattamenti a rischio alto, viene eseguita la Valutazione di Impatto (DPIA).

Dato il grado di conformità rilevato e le aree di intervento necessarie, si redige un piano operativo di tutte le azioni (comprendenti attività operative, redazione documentale, revisione dei processi, acquisizione di strumenti, sessioni formative) che permettono di arrivare alla piena conformità alla normativa.

Attraverso un applicativo certificato di gestione delle informazioni privacy (trattamenti, banche dati, rischi, misure di sicurezza, etc) si generano e si mantengono, secondo le prescrizioni del GDPR, tutti i documenti richiesti, che comporranno il Manuale Organizzativo Privacy.

A tutto il personale coinvolto nei trattamenti di dati personali viene fornita, sulla base dei ruoli e della tipologia di dati utilizzati e di trattamenti eseguiti, una serie di informazioni riguardanti la struttura della normativa, i principi su cui è fondata e sugli adempimenti, sia formali che operativi, richiesti; lo scopo è di renderle consapevoli riguardo alle corrette modalità di esecuzione dei loro compiti e di essere in grado di individuare eventuali problemi e di intervenire per risolverli, sempre nella prospettiva di proteggere le persone di cui trattano i dati.

La conformità alla normativa non si esaurisce alla conclusione dell’adeguamento, ma deve essere mantenuta in relazione ai chiarimenti normativi, alla rotazione del personale, alle modifiche dei trattamenti in essere o all’introduzione di nuovi, alle modifiche sulle banche dati o sulle misure di sicurezza. A questo scopo vengono eseguite verifiche annuali a cui seguono, qualora necessario, azioni correttive.

Sulla base dei livelli di rischio stimati, si individuano tutti gli strumenti (misure tecniche) e le modalità operative (misure organizzative) già presenti o da aggiungere che, sulla base delle indicazioni presenti nella normativa, possono essere considerate come utili e/o necessarie alla protezione dei dati e dei trattamenti, in modo da ridurre al minimo il rischio complessivo dei trattamenti.

Per le organizzazioni per le quali risulta obbligatoria, o che scelgono comunque di avvalersene, è possibile svolgere la funzione di Data Protection Officer, i cui compiti comprendono fare da punto di contatto con l’Autorità Garante e con gli interessati, e fornire indicazioni e pareri riguardo gli adempimenti sia formali che operativi, nonché di effettuare il monitoraggio interno del rispetto della normativa.

Ogni violazione (“data breach”) riguardante i trattamenti di dati personali deve essere correttamente gestita secondo le prescrizioni della normativa, valutando la gravità dell’evento e quindi degli impatti per le persone, ed individuando le azioni correttive e le eventuali nuove misure di sicurezza che prevengano il riverificarsi della violazione.

Per ogni necessità riguardante la normativa sui dati personali, soprattutto in relazione agli aspetti più complessi (aspetti specifici di settore, trattamenti transfrontalieri o trasferimenti extra UE, certificazioni, ispezioni, etc) è possibile fornire consulenza diretta e personalizzata.

In caso giungano richieste di esercizio dei diritti, prima di procedere a soddisfarle può essere necessario valutarne la corretta applicabilità e soprattutto l’eventuale presenza di limitazioni all’esercizio stesso, nonché verificare se ci siano situazioni di conflitto rispetto ad altri diritti o ad altre persone.

Attraverso i nostri partner è possibile avvalersi di supporto legale e di coperture assicurative specifiche per tutti gli aspetti che riguardano i dati personali. Anche noi ci avvaliamo di loro per assicurare le nostre procedure.