L’ADEGUAMENTO ALLA NUOVA L’ADEGUAMENTO ALLA NUOVA NORMATIVA SULLA PRIVACY NORMATIVA SULLA PRIVACY

GDPR 679/2016GDPR 679/2016

F E B B R A I O 2 0 1 8

“Servizi di Assistenza e Consulenza in materia “Servizi di Assistenza e Consulenza in materia di privacy” di privacy”

1

AGGIORNAMENTI ALLA NORMATIVAAGGIORNAMENTI ALLA NORMATIVA

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 (GDPR) inmateria di protezione dei dati personali e privacy. Imprese e soggetti pubblici dovrannofar fronte ad una serie di adempimenti organizzativi per prendere in carico le novitàintrodotte da questa norma.

Il regolamento introduce il concetto di "responsabilizzazione" (accountability) di titolari eresponsabili che devono operare affinché sia dimostrata l' adozione di misure finalizzatead assicurare l'applicazione del regolamento (artt. 23-25, e Capo IV del regolamento).Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie ei limiti del trattamento dei dati personalinel rispetto delle disposizioni normative.

Tra i criteri ispiratori il principale è "data protection by default and by design" che, perciascun trattamento, debbano essere stabilite fin dall'inizio le garanzie indispensabili peril rispetto dei requisiti del regolamento e la tute dei diritti degli interessati. Questocriterio richiede, pertanto, un'analisi preventiva che specifichi misure ed obblighi inrelazione al rischio, preventivamente identificato, associato al trattamento.

2

AGGIORNAMENTI ALLA NORMATIVAAGGIORNAMENTI ALLA NORMATIVA

I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sullelibertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso unprocesso di assessment (DPIA - Data protection impact assessment) che consideri misuretecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare permitigare tali rischi.

L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento conl'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.

Il titolare potrà altresì consultare l'autorità di controllo competente per ottenereindicazioni sulla gestione del rischio residuale. In tal caso l'autorità non avrà il compito di"autorizzare" il trattamento, bensì di indicare le misure ulteriori da implementare e, seprevisto, adottare tutte le misure correttive ai sensi dell'art. 58.

Altri importanti adempimenti da parte di titolari e responsabili del trattamento sono:

3

AGGIORNAMENTI ALLA NORMATIVAAGGIORNAMENTI ALLA NORMATIVA

- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gliorganismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art.30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sonoindicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai finidell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamentiin essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gliadempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deveessere esibito su richiesta al Garante.Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e iresponsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiatinella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e deirischi associati.

4

AGGIORNAMENTI ALLA NORMATIVAAGGIORNAMENTI ALLA NORMATIVA

- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezzaadeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui alparagrafo 1 dell'art. 32 è una lista apertae non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice)poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapportoai rischi specificamente individuati.L' Autorità potrà valutare la definizione di linee-guida o buone prassi mentre, per alcunetipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) delregolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) lemisure di sicurezza attualmente previste.

5

AGGIORNAMENTI ALLA NORMATIVAAGGIORNAMENTI ALLA NORMATIVA

- Notifica delle violazioni di dati personali: A partire dal 25 maggio2018, tutti i titolari dovranno notificare all'autorità di controllo leviolazioni di dati personali di cui vengano a conoscenza, entro 72 ore ecomunque "senza ingiustificato ritardo", ma soltanto se ritengonoprobabile che da tale violazione derivino rischi per i diritti e le libertàdegli interessati.Tutti i titolari di trattamento dovranno in ogni caso documentare leviolazioni di dati personali subite, anche se non notificate all'autorità dicontrollo e non comunicate agli interessati, nonché le relativecircostanze e conseguenze e i provvedimenti adottati.

6

AGGIORNAMENTI ALLA NORMATIVAAGGIORNAMENTI ALLA NORMATIVA

- Responsabile della protezione dei dati: La designazione di un"responsabile della protezione dati" (RPD), ovvero DPO (DataProtection Officer) è finalizzata a facilitare l'attuazione del regolamentoda parte del titolare/del responsabile. Fra i principali compiti del RPDrientrano "la sensibilizzazione e la formazione del personale" e lasorveglianza sullo svolgimento della valutazione di impatto previstadall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art.37, e il regolamento specifiche le competenze e le caratteristiche(indipendenza, autorevolezza, competenze manageriali).

7

PRESENTAZIONE SOCIETA’PRESENTAZIONE SOCIETA’

Lever Up Consulting S.r.l. si è costituita come Società a Responsabilità Limitata nel 2005, èiscritta al Registro Imprese della Camera di Commercio Industria Artigianato Agricoltura diNapoli – Codice Fiscale e Partita IVA 05255991217 - ed ha sede in Napoli alla Via VicinaleVisconti 77 - 80147; Tel. e Fax 0039.081.3418449.

I servizi erogati sono finalizzati ad una crescita delle aziende orientata allo svilupposostenibile ed alla massima soddisfazione dei clienti e dei dipendenti (Qualità, Sicurezzadei Dati e delle Informazioni, Responsabilità Sociale, Sicurezza sul Lavoro).

Lever Up Consulting S.r.l., progetta e realizza interventi organizzativi e formativi volti almiglioramento della competitività e della qualità, allo sviluppo organizzativo e allo sviluppodelle risorse umane. Assiste le imprese e le organizzazioni pubbliche e private impegnate inprocessi di cambiamento, innovazione, miglioramento e creazione di valore. Offre, dunque,un’assistenza completa in ogni fase della vita dell’azienda ed in ogni settore, dal controllodei processi produttivi e dei fornitori, alla cura ed al procacciamento della clientela,dall’organizzazione del personale ai processi di formazione e selezione, dallacomunicazione interaziendale alla comunicazione esterna con gestione diretta di ufficistampa e uffici gestione Qualità, offerta di canali pubblicitari e tutto quanto possaoccorrere ad un’azienda moderna orientata alla crescita.

8

PRESENTAZIONE DEL PROGETTOPRESENTAZIONE DEL PROGETTO9

L’intervento di consulenzaL’intervento di consulenza10

Analisi Aziendale Preliminare

Progettazione esecutiva

Redazione Organigramma Privacy

Individuazione e Nomina DPO

Classificazione dei dati e dei trattamenti

Data Protection Impact Assessment (DPIA)

Individuazione delle Misure di Sicurezza

Informative e Consensi

Nomine a Responsabili, titolari ed incaricati al Trattamento dei Dati

Il Piano di Intervento sarà articolato come segue:

L’intervento di consulenzaL’intervento di consulenza11

Nomina dell'Amministratore di Sistema

Redazione Procedure ed Istruzioni Operative Privacy

Predisposizione Registro Dati e Modulistica di Registrazione

Formazione Frontale a tutto il personale

Training on the Job per resp., titolari ed incaricati al trattamento dati

Audit Finale di Conformità

Obiettivi della consulenzaObiettivi della consulenza

– Censire la tipologia di dati trattati, i flussi di trattamento interni ed esterni, le strutturecoinvolte, i rischi e le misure di sicurezza adottate, eventuali notificazioni ex art. 37 d.lgs. 196/03 al Garante per la protezione dei dati personali;– Esaminare il rispetto delle condizioni di liceità e dei principi del trattamento;– Identificare i ruoli “attivi” di trattamento (eventuali contitolari, responsabilie sub-responsabili, incaricati), la designazione (ove dovuta) degli amministratori di sistema (e i complessivi adempimenti),– Rendere disponibili le istruzioni e le procedure per la gestione i sicurezza dei dati, per la gestione dei diritti dell’interessato, di accertamento e scoperta di data breach, la gestione della posta elettronica e Internet e quant’altro necessario.– Erogare la formazione necessaria al personale dipendente della società.– Valutare l’attività di trattamento svolta da collaboratori esterni.– Esaminare i profili giuslavoristici nella misura in cui sono richiamati dal Garante per laprotezione dei dati personali, in particolare con riferimento ai controlli datoriali sull’attività lavorativa;– Gestione in sicurezza di campagne di marketing, gestione di newsletter, cookies etc.– Valutare le lettere di assunzione del personale,contratti con i collaboratori e contratti per i fornitori in merito alla gestione dei dati condivisi.– Controllare periodicamente la conformità al Regolamento.

12

TempisticaTempistica

13

CORSI DA EROGARECORSI DA EROGARE

Durata dell’InterventoDurata dell’Intervento14

TEMPISTICAGli interventi di consulenza saranno pianficati preventivamente e la duratadell’intervento sarà stabilito prima della contrattualizzazione in base allatipologia dei dati trattati, alle necessità, al numero di sedi e ad altre varianticoncordate con il cliente nella massima trasparenza.Le attività saranno gestite come segue: Giornate di consulenza ad altro profilo presso il cliente (Sede Centrale o sedi

delocalizzate secondo le opportunità); Giornate di consulenza di profilo Ordinario presso il cliente (Sede Centrale o sedi

delocalizzate secondo le opportunità) ; Giornate presso gli Uffici Lever Up per (redazione, collazione moduli, documenti e

reportistica);Il rispetto della tempistica sarà subordinato alla piena collaborazione edisponibilità del cliente nel rispetto della pianificazione .

Cosa FaremoCosa Faremo

15

CORSI DA EROGARECORSI DA EROGARE

Contenuti della ConsulenzaContenuti della Consulenza- DPIA (Data protection impact assessment): un'analisi preventiva che specifichi misure ed obblighi in relazione alrischio, preventivamente identificato, associato al trattamento. Ispirata dal criterio data protection by default and bydesign" .I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degliinteressati; questi impatti dovranno essere analizzati attraverso un processo di assessment che consideri misuretecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di

sicurezza necessarie a salvaguardare i dati personali.- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni ditrattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai finidell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno diun'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta,anche elettronica, e deve essere esibito su richiesta al Garante.Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalledimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivodei trattamenti svolti e dei rischi associati.

16

Contenuti della ConsulenzaContenuti della Consulenza- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" deltrattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e nonesaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione saràrimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificareall'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senzaingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertàdegli interessati.Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se nonnotificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e iprovvedimenti adottati.- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero

DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/delresponsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e lasorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria neicasi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza,competenze manageriali).

17

Contenuti della ConsulenzaContenuti della Consulenza- Modulistica e Registrazioni: Sarà redatta un organigramma privacy, con i responsabili, i titolari e gli incaricati alla gestione deidati personali trattati dall'organizzazione.Si procederà all'implementazione di un'informativa in materia di trattamento dei dati personali ed il consenso espresso daparte di chi conferisce tali dati.Saranno redatte lettere di incarico per tutte le figure dell'organigramma privacy, con annesse procedure per le modalità digestione e le misure di sicurezza implementate.Sarà redatta lettera di incarico per l'Amministratore del Sistema Informatico, con responsabilità di coordinamento,pianficazione e controllo delle procedure informatiche di protezione dei dati trattati.Saranno formalizzate le modalità operative, i ruoli, le funzioni e le mansioni,nonché la pianificazione degli adempimenti, delleattività e dei controlli.Lever Up assisterà l'organizzazione nella predisposizione del registro dei dati previsto dal Regolamento e fornirà le istruzioniper la gestione futura ed il mantenimento dello stesso e fornirà tutti i moduli necessari a gestire le registrazioni richieste dalregolamento in tema di violazioni, comunicazioni, cancellazione, restituzione dei dati e quant'altro occorre per mantenere laconformità alla normativa di riferimento.- Formazione frontale ed on the job: Saranno tenute 2 ore di formazione d'aula per tutti i dipendenti, fornito materialedidattico ed illustrativo in materia di: - Gestione dei dati personali, Regolamento Europeo per il trattamento dei dati personali,Tipologia dei dati trattati dall'organizzazione, Misure di Sicurezza, Comportamenti ed IstruzioniSaranno previste inoltre 2 ore di affiancamento su tutte le funzioni incluse nell'organigramma privacy, per verificare ecomprendere le problematiche inerenti la gestione dei dati, le modalità operative applicate all'attività quotidiana.- Audit Finale di Conformità - All'esito di tutte le attività sarà previsto un momento di verifica, in base ad una check list chesarà redatta contestualmente al report dell DPIA, per verificare la corretta attuazione di tutte le misure di sicurezzaimplementate, il rispetto delle procedure implementate e la conformità al Regolamento Privacy.

18

LISTINO INTERVENTOLISTINO INTERVENTO

Per l’erogazione dell’intervento descritto, comprensivo di: progettazione, Redazione e collazione documenti e moduli, Personale docente per la formazione, dell’emissione dei certificati di frequenza superamento dei corsi in formato pdf.È prevista l’applicazione dei seguenti costi:

19

Costo giornata consulenza alto impatto presso il cliente € 500,00

Costo giornata consulenza basso impatto presso il cliente € 200,00

Costo giornata consulenza presso Lever Up € 150,00

CONDIZIONI GENERALICONDIZIONI GENERALI

Gli importi sopra indicati sono al netto di IVA e non comprendono le spese diviaggio e trasferta dei nostri consulenti per le trasferte fuori regione, per le qualiè previsto il rimborso dei costi sostenuti e riportati a piè di lista, a fronte digiustificativi oltre € 0,35/Km per spostamenti in auto. La fatturazione avverrà intre soluzioni, con la prima rata alla sottoscrizione del contratto, la seconda a 60giorni dalla sottoscrizione del contratto, la terza ed ultima rata alla consegna delrapporto di audit di confomità finale.

20

DISPONIBILITA’ LEVER UP CONSULTING DISPONIBILITA’ LEVER UP CONSULTING S.R.L.S.R.L.

La Lever Up Consulting, è disponibile a fornire ogniulteriore chiarimento si rendesse necessario e perlo sviluppo di ogni modifica del progetto diconsulenza, secondo ogni vostra necessità .

21

Lever Up Consulting SrlLever Up Consulting SrlVia E. Montale, 26F Via E. Montale, 26F –– 80018 80018 MugnanoMugnano didi Napoli Napoli

MobMob (+39) 3897853044(+39) 3897853044 Tel (+39) 081Tel (+39) 081--19557195 19557195 -- Fax Fax (+39) (+39) 081 081 -- 1972085719720857E.mailE.mail: info@leverup.it : info@leverup.it -- Web: www.leverup.itWeb: www.leverup.it

22

ContattiContatti