Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.
Spedi srl, forte di anni di esperienza nel mondo privacy e sicurezza dei dati, è in grado di affiancare il Cliente in tutti gli adempimenti necessari ad assolvere in pieno le pratiche richieste dal GDPR.
La procedura si divide normalmente in tre fasi:
FASE 1 - AUDIT:
La fase di AUDIT permette di stabilire se il Cliente è conforme al regolamento GDPR e consiste in:
A) Sopralluogo c/o cliente - Analisi del livello attuale di conformità al GDPR (AS-IS)
B) Stesura e presentazione del report indicante lo stato dell’arte, definizione del GAP con l’elencazione delle eventuali attività per l’adeguamento (TO-BE)
FASE 2 - DO:
La fase di DO (operativa) consiste nell'implementare le misure tecniche, organizzative e documentali necessarie a rendere il Cliente conforme a quanto richiesto dal GDPR:
A) Predisposizione documentazione:
- Redazione registro dei trattamenti e organigramma aziendale
- Redazione della valutazione dei rischi e ove necessario il Privacy Impact Assessment (PIA).
- Redazione delle nomine dei Responsabili.
- Redazione informative.
- Redazione delle specifiche procedure di Trattamento dei Dati.
B) Verifica misure di sicurezza:
Individuazione delle Misure di Sicurezza in essere e di quelle necessarie.
Per quanto riguardo le Pubbliche Amministrazioni esistono dei vincoli maggiori per quanto riguarda le misure da attuare, che sono suddivise in tre livelli: Minimo, Standard e Alto.
“Minimo”, specifica il livello sotto il quale nessuna amministrazione può scendere: i controlli in essa indicati debbono ritenersi come obbligatori.
Discussione e condivisione con il Cliente delle misure di sicurezza, così da individuare la soluzione più adatta.
C) Consegna documentazione e formazione del personale con rilascio attestati
Al termine della formazione attinente al GDPR, verrà dedicato un breve ripasso per accorgimenti minimi in grado di aumentare il livello di sicurezza; inoltre saranno esposti principi di Disaster Recovery e Business Continuity molto utili al fine di raggiungere livelli ottimali.
FASE 3 - MAINTENANCE:
La fase di ACT prevede il supporto al mantenimento e miglioramento del sistema di protezione dei dati.
Al fine di facilitare tale fase, SPEDI mette a disposizione dei propri Clienti un portale, con accesso tramite credenziali, attraverso il quale poter gestire la propria situazione di privacy, dati e trattamenti.
Il portale SPEDI GDPR permette di mantenere aggiornato l'insieme di attori responsabili del trattamento dei dati e i trattamenti stessi, le misure di sicurezza in atto e tutta la documentazione necessaria. Inoltre è possibile tenere traccia della trasmissione dei diversi documenti verso i rispettivi destinatari (ad esempio: redazione, invio e ritorno firmato di una letterea di incarico quale responsabile al trattamento dei dati). Il portale viene costantemente aggiornato in modo da essere sempre allineato alle novità normative.