GDPR – La nostra strategia per adeguare aziende ed enti

GDPR strategia per adeguare le aziendeNel post precedente “GDPR – 10 domande e risposte per capire come adeguare la tua azienda” abbiamo elencato 10 punti salienti del nuovo regolamento europeo in materia di privacy e trattamento dei dati personali che diventerà effettivo il prossimo 25 maggio 2018.

Ora che la scadenza si avvicina è giunto il momento di passare ai fatti ed presentare la strategia che abbiamo elaborato per supportare aziende ed Enti pubblici ad adeguarsi al nuovo GDPR, con la preziosa collaborazione di un consulente legale con grande padronanza della materia.

Innanzitutto abbiamo identificato due ambiti di acquisizione dei dati personali, diversi per tipologia di intervento, ma strettamente collegati tra loro:

  1. On line: ovvero tutti quei dati sensibili acquisiti attraverso siti web aziendali, o siti di e-commerce o applicativi informatici di varia natura resi disponibili attraverso internet.
    Molto spesso i dati acquisiti attraverso la rete sono anche conservati in rete.
  2. Off line: ovvero tutti quei dati sensibili acquisiti per via cartacea o informatica attraverso la compilazione di documenti, moduli e contratti necessari allo svolgimento delle attività delle imprese. Il più delle volte i dati acquisiti on line vengono conservati sulla rete locale dell’azienda o addirittura su un singolo pc.

Per entrambi gli ambiti di intervento viene seguito il medesimo schema:

GDPR-strategia

Adeguamento siti web al GDPR

Tutti i siti web sono soggetti al nuovo regolamento: anche se non vengono richiesti esplicitamente dati personali attraverso la compilazione di moduli (form), possono essere presenti altri sistemi di tracciamento e acquisizione legati a programmi, quali cookies, plugins, widget, etc. e il consenso informato ed esplicito deve essere rilasciato anche per questi servizi.
Queste sono le attività previste nella nostra strategia di adeguamento ad GDPR dei siti internet di qualsiasi tipologia essi siano (siti vetrina, e-commerce, portali informativi, blog, etc.):

  1. Check up preliminare del sito allo scopo di comprendere il flusso dei dati personali: quali dati vengono raccolti e attraverso quali meccanismi
  2. Mappatura dei dati raccolti: tipologia dei dati, tempi e modi di conservazione o cancellazione
  3. Revisione delle non conformità rilevate e messa in atto di pratiche correttive
  4. Applicazione della richiesta dell’esplicito consenso ove necessario (moduli di contatto, procedure di checkout, procedure di login, etc.)
  5. Revisione Privacy Policy presente sul sito web in conformità con il GDPR
  6. Revisione Cookie Policy in conformità con il GDPR e attualizzazione del banner con attivazione del consenso esplicito
  7. Valutazione sicurezza sito web (scansione malaware) e hosting
  8. Valutazione transazioni e sistemi di pagamento on line (se presenti)
  9. Valutazione attività connesse di web e social media marketing: newsletter, sistemi di statistica e pagine social
  10. Valutazione casi ed esigenze particolari

Adeguamento procedure aziendali al GDPR

Non solo le aziende il cui core business è il trattamento o l’elaborazione di dati personali e gli Enti pubblici sono coinvolti nel nuovo regolamento, poiché il GDPR riguarda tutte le aziende che in qualche modo hanno a che fare con dati personali, cioè in pratica tutte.
Ed esempio, se si ha un dipendente si è in possesso di dati sensibili che vanno protetti, idem dicasi per l’elenco dei clienti o dei fornitori.
Per tutte le aziende e gli Enti pubblici che vogliano adeguarsi al GDPR abbiamo quindi previsto le seguenti attività:

  1. Incontro preliminare: presentazione dell’azienda al fine di definire l’impatto del GDPR
  2. Analisi del flusso di acquisizione e delle metodologie di conservazione dei dati personali (dipendenti, clienti, fornitori)
  3. Mappatura dei dati acquisiti dall’azienda
  4. Analisi dei rischi derivanti da eventuali lacune dei sistemi di sicurezza informatica interni deputati alla protezione dei dati
  5. Valutazione dell’impatto su processi e progetti in atto (Privacy Impact Assesment) così come su progetti futuri (Privacy by Design)
  6. Definizione delle figure di riferimento interne ed esterne: Titolare del trattamento dati personali, Responsabile, Incaricati, eventuale Data Protection Officier (DPO)
  7. Adeguamento della Privacy Policy aziendale
  8. Elaborazione della documentazione relativa alle misure di sicurezza adottate
  9. Analisi di metodologie di trasmissione a terzi dei dati sensibili
  10. Eventuale attività di adeguamento dell’infrastruttura informatica se giudicata insufficiente

Molte aziende si sono organizzate o si stanno organizzando per svolgere queste attività internamente, ma come essere sicuri di aver soddisfatto tutti i requisiti e non aver trascurato niente se non si hanno all’interno le competenze necessarie?

Noi, in piena ottemperanza a quanto previsto dal regolamento, abbiamo unito le nostre competenze informatiche con le conoscenze legali di un avvocato che da tempo si dedica all’approfondimento del GDPR anche attraverso seminari e corsi.
Siamo quindi pronti ad offrire una soluzione che permetterà ad aziende ed enti non solo di risparmiare risorse interne (e quindi tempo, denaro ed energie) ma anche di gestire l’adeguamento al regolamento europeo con professionalità e in totale sicurezza.

Contattaci per un incontro preliminare completamente gratuito: scrivi a info@neamesa.it o chiamaci allo 011.0341314 (lu-ve 8.30/18.30).

Fiorella Sina
Nea Mesa Comunicazione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

* Devi selezionare la casella Accetto per inserire il tuo commento.

*

Accetto l'informativa sulla privacy e il trattamento dati personali

65 − = 63