Meet Forum 2019 | Mediterranean European Economic Tourism Forum
Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica
Forte Village, in Sardegna | Sabato 5 ottobre
Banco di Sardegna Hall | 16.45 : 17.25
https://www.meetforum.it/programma-2019/
Privacy e compliance GDPR settore turistico alberghiero
Massimo Simbula
Founder Studio Legale Simbola
https://www.meetforum.it/speaker/massimo-simbula/
Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo.
https://www.meetforum.it
3. LA PRIVACY E IL SETTORE TURISTICO
ALBERGHIERO
La privacy nel settore turistico-alberghiero è da tempo un tema di particolare sensibilità tra
gli operatori del settore, non solo in considerazione delle normative rilevanti in materia di
tutela dei dati personali ma anche, e soprattutto, per la reputazione delle strutture ricettive e
per l’importanza di proteggere le informazioni riservate e confidenziali dei loro ospiti
soprattutto alla luce dell’utilizzo di nuove tecnologie.
Accessi abusivi a sistemi informatici possono, naturalmente, arrecare non solo danni diretti
conseguenti l’acquisizione di informazioni sensibili o clonazione carte di credito ma anche
danni indiretti conseguenti, ad esempio, le obbligatorie comunicazioni ai clienti nelle ipotesi
di cosiddetto “data breach”.
COMPLIANCE GDPR
4. LA PRIVACY E IL SETTORE TURISTICO
L’avvento del nuovo Regolamento Europeo sulla Protezione dei Dati Personali meglio
descritto più avanti rappresenta non solo un obbligo di legge ma una opportunità per le
aziende di affrontare in maniera strutturata le politiche connesse alla riservatezza e alla
confidenzialità delle informazioni in relazione all’organizzazione aziendale che effettua
trattamenti di dati personali in stretta connessione con le applicazioni e con il personale dei
fornitori esterni che effettuano trattamenti di clienti dell’operatore turistico.
In tal senso, oltre alla gestione dei processi autorizzativi interni, le aziende – con particolare
riferimento a quelle del settore turistico/alberghiero – dovranno verificare che i loro
processi di gestione della sicurezza siano calibrati sull’effettivo rischio connesso al
trattamento dei dati personali dei clienti e considerando l’impatto sui diritti e le libertà di
ciascuno di essi.
5. LA PRIVACY E IL SETTORE TURISTICO
In tal senso, oltre alla gestione dei processi autorizzativi interni che ruotano intorno al
sistema gestionale di PMS (Property Management System), le aziende del settore turistico e
alberghiero dovranno verificare che i loro processi di sicurezza (gestione delle presenze,
ingresso nelle camere, videosorveglianza, sistemi di geo-localizzazione, sistemi di
rilevazione biometrica ecc.) siano effettivamente in linea con la nuova normativa.
L’utilizzo di sistemi di promozione e prenotazione on line dovrà tenere in debita
considerazione i criteri di sicurezza imposti dal nuovo Regolamento Europeo con particolare
riferimento alle attività di profilazione eventualmente attuate anche per il tramite di sistemi
di gestione dell’email marketing per il tramite di strumenti di invio massivo offerti da
soggetti terzi.
6. LA PRIVACY E IL SETTORE TURISTICO
La profilazione automatica attuata su vasta scala o la gestione di particolari categorie di dati
(ad es. informazioni sulla salute del cliente) sempre su vasta scala, può comportare la
necessaria nomina di un cosiddetto data protection officer (DPO).
L’azienda, inoltre, dovrà strutturare una adeguata policy interna volta alla gestione del
rischio informatico, la gestione degli incidenti, il piano di formazione e di tutta una serie di
processi legati anche alla dimostrazione dell’attuazione delle misure di sicurezza.
7. QUANDO è applicabile la nuova normativa
Il GDPR Generale sulla Protezione dei Dati dell'Unione
Europea (GDPR) entra in vigore a maggio 2016 ed è
direttamente applicabile in tutti gli Stati Membri a
decorrere dal 25 maggio 2018.
La direttiva segna il cambiamento normativo più
significativo in materia di protezione dei dati avvenuto
nell'Unione Europea negli ultimi 20 anni e trasforma il
modo in cui le aziende gestiscono e proteggono i dati
personali.
8. QUANDO è applicabile la nuova normativa
IL GDPR introduce regole più chiare in materia di
informativa e consenso, definisce i limiti al
trattamento automatizzato dei dati personali, pone le
basi per l'esercizio di nuovi diritti, stabilisce criteri
rigorosi per il trasferimento dei dati al di fuori
dell’Ue e per i casi di violazione dei dati personali
(DATA BREACH).
9. IL CONSENSO dell'interessato
Per i dati “sensibili” (si veda art. 9 GDPR) il consenso DEVE
essere “esplicito”; lo stesso dicasi per il consenso a
decisioni basate su trattamenti automatizzati (compresa la
profilazione – art. 22 GDPR)
NON deve essere necessariamente “documentato per
iscritto”, né è richiesta la “forma scritta”, anche se questa
è modalità idonea a configurare l'inequivocabilità del
consenso e il suo essere “esplicito” (per i dati sensibili);
inoltre, il titolare (art. 7.1 GDPR) DEVE essere in grado di
dimostrare che l'interessato ha prestato il consenso a uno
specifico trattamento.
10. IL CONSENSO dell'interessato
Il consenso dei minori è valido, a livello europeo, a partire
dai 16/14 anni ma per poter effettuare una prenotazione
in Italia è comunque richiesta la maggiore età (18 anni);
prima di tale età occorre raccogliere il consenso dei
genitori o di chi ne fa le veci.
DEVE essere, in tutti i casi, libero, specifico, informato e
inequivocabile e NON è ammesso il consenso tacito o
presunto (no a caselle pre-spuntate su un modulo).
DEVE essere manifestato attraverso “dichiarazione o
azione positiva inequivocabile” (per approfondimenti, si
vedano considerando 39 e 42 del GDPR).
11. Il GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica;
i fondamenti di liceità del trattamento sono indicati all'art. 6 del GDPR e coincidono, in linea
di massima, con quelli previsti attualmente dal Codice Privacy - d.lgs. 196/2003 (consenso,
adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di
legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo
prevalente del titolare o di terzi cui i dati vengono comunicati).
LICEITÀ del trattamento
12. I CONTENUTI dell'informativa
I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14,
paragrafo 1, del GDPR e in parte sono più ampi rispetto al Codice Privacy.
In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile
della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento,
qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento,
nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali
strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si
utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
13. I CONTENUTI dell'informativa
Il GDPR prevede anche ulteriori informazioni in quanto
“necessarie per garantire un trattamento corretto e
trasparente”: in particolare, il titolare deve specificare il
periodo di conservazione dei dati o i criteri seguiti per
stabilire tale periodo di conservazione, e il diritto di
presentare un reclamo all'autorità di controllo.
Se il trattamento comporta processi decisionali
automatizzati (anche la profilazione), l'informativa deve
specificarlo e deve indicare anche la logica di tali
processi decisionali e le conseguenze previste per
l'interessato.
14. MODALITÀ dell'informativa
Il GDPR specifica molto più in dettaglio rispetto al Codice le caratteristiche
dell'informativa, che deve avere forma concisa, trasparente, intelligibile per
l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e
semplice,e per i minori occorre prevedere informative idonee.
L'informativa è data, in linea di principio, per iscritto e preferibilmente in
formato elettronico (soprattutto nel contesto di servizi online, anche se sono
ammessi “altri mezzi”), quindi può essere fornita anche oralmente, ma nel
rispetto delle caratteristiche di cui sopra. Il GDPR ammette, soprattutto,
l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica,
ma solo “in combinazione”con l'informativa estesa.
15. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le
caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per
raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il GDPR, se si
vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre
richieste o dichiarazioni rivolte all'interessato (art. 7.2 GDPR), per esempio all'interno di
modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere
comprensibile, semplice, chiara (art. 7.2 GDPR). I soggetti pubblici non devono, di regola, chiedere il
consenso per il trattamento dei dati personali.
I CONSENSI RACCOLTI prima del 25 maggio 2018
16. Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese,
estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro
all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.
Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare
dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste
manifestamente infondate o eccessive (anche ripetitive) (art.12.5 GDPR), a differenza di quanto prevedono
gli art. 9, comma 5, e 10, commi 7 e 8, del Codice Privacy, ovvero se sono chieste più “copie” dei dati
personali nel caso del diritto di accesso (art. 15, paragrafo 3 GDPR); in quest'ultimo caso il titolare deve
tenere conto dei costi amministrativi sostenuti. Il riscontro all'interessato di regola deve avvenire in
forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità; può essere dato
oralmente solo se così richiede l'interessato stesso (art. 12, paragrafo 1 GDPR; si veda anche art. 15, paragrafo
3 GDPR).
DIRITTI degli interessati
17. Il GDPR:
l disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto
giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare
riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno
qualsiasi dei titolari operanti congiuntamente;
l fissa più dettagliatamente (rispetto all'art. 29 del Codice Privacy) le caratteristiche dell'atto con cui il titolare designa
un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto
giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3
dell';art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata
e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e
organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni
contenute nel GDPR;
TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
18. l consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per
specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile
primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del
risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso “non gli è in alcun modo
imputabile”(si veda art.82,paragrafo 1 e paragrafo 3);
l prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi
titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l'adozione di
idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 GDPR); la designazione di un
RPD-DPO, nei casi previsti dal GDPR o dal diritto nazionale (si veda art. 37 del GDPR). Si ricorda, inoltre, che anche il
responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art.
27,paragrafo 3,del GDPR –diversamente da quanto prevede oggi l'art.5,comma 2,del Codice Privacy.
TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
19. Il GDPR pone con forza l'accento sulla “responsabilizzazione” (accountability nell'accezione inglese)
di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la
concreta adozione di misure finalizzate ad assicurare l'applicazione del GDPR (si vedano artt. 23-25,
in particolare, e l'intero Capo IV del GDPR).
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il
compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati
personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati
nel GDPR.
ACCOUNTABILITY
20. ACCOUNTABILITY
Il primo fra tali criteri è sintetizzato dall'espressione inglese “data protection by default
and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento
prevedendo fin dall'inizio le garanzie indispensabili “al fine di soddisfare i requisiti del
GDPR e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il
trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e
proprio (“sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso”,
secondo quanto afferma l'art. 25(1) del GDPR) e richiede, pertanto, un'analisi preventiva e un
impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività
specifiche e dimostrabili.
21. ACCOUNTABILITY
Dunque, l'intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà
successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l';abolizione a
partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano,
come la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (o
verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei
trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto
in piena autonomia.
Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei
dati” (l'erede dell'attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire
uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a
produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per
garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e
dei sistemi di trattamento dati.
22. La valutazione d'impatto (PIA – Privacy Impact Assessment) è fondamentale per proteggere la
privacy e la conformità dei processi e servizi al GDPR. Lo scopo della valutazione d'impatto è
quello di produrre una descrizione sistematica delle attività di trattamento dei dati previste e di
determinare la base giuridica per il trattamento.
Le valutazioni di impatto dovrebbero descrivere l'approccio che un'azienda adotterà per attenuare
i rischi. L'esecuzione delle valutazioni d'impatto non deve essere un'attività di compliance isolata,
ma incorporata nei processi esistenti in modo che i rischi potenziali e i costi riferiti alle correzioni
siano chiari in fase di decisione e approvazione.
LA VALUTAZIONE d'impatto
23. Il GDPR talvolta richiede un'attività specifica di valutazione d'impatto denominata valutazione
d'impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment).
Il GDPR prevede l'esecuzione di valutazioni d'impatto sulla protezione dei dati per i trattamenti di
dati che potenzialmente presentano un rischio elevato per i diritti e le libertà degli interessati, in
particolare quando si implementano nuove tecnologie o nei casi di trattamento su larga scala di
categorie particolari di dati personali. Le valutazioni d'impatto sulla protezione dei dati devono
valutare la necessità e la proporzionalità del trattamento per identificare i rischi per i diritti e le
libertà degli interessati. Per soddisfare i requisiti di una valutazione d'impatto sulla protezione dei
dati è possibile effettuare una valutazione d'impatto più generale.
LA VALUTAZIONE d'impatto
24. Il primo passo da compiere è esaminare a fondo il GDPR e sensibilizzare
l'organizzazione rispetto ai cambiamenti imminenti. Per adeguarsi correttamente al GDPR
è essenziale ottenere l'appoggio della dirigenza e coinvolgere adeguatamente tutti gli
stakeholder chiave. Solo con il coinvolgimento degli stakeholder chiave sarà possibile
iniziare a identificare le aree più critiche per la conformità.
Occorre quindi documentare quali dati personali sono in possesso dell'azienda, da dove
provengono e con chi vengono condivisi. È importante identificare e classificare tutti i dati
personali che l'azienda raccoglie, tratta e archivia. Una volta chiarito quali dati personali
vengono trattati, dove, da chi e in che modo, il passo successivo consiste nell'identificare
il grado di completezza delle misure di conformità attuali.
Anche questa analisi delle lacune dovrebbe iniziare dalla visione strategica dei dati
personali.
ROADMAP GDPR
25. DATABREACH
Una violazione della sicurezza che comporta “la
distruzione accidentale o illegale, la perdita, la modifica,
la rivelazione o l'accesso non autorizzati a dati
personali”.
Il nuovo regolamento prevede che il titolare del
trattamento notifichi ogni violazione all'autorità di
controllo competente entro 24 ore dall'individuazione.
27. SULLE ATTIVITÀ dello Studio legale
FASE DI ADEGUAMENTO LEGALE,DOCUMENTALE,ORGANIZZATIVO E DI GESTIONE DEI PROCESSI.
DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ:
redazione di un mandato privacy infra-gruppo alla luce dell’obbligo del GDPR UE per individuare con contratto gli ambiti di
competenza tra eventuali contitolari del trattamento;
individuazione e redazione personalizzata degli atti di nomina a Responsabile interno del trattamento (ivi incluse le
eventuali nomine dei sub-responsabili, figura ora prevista dal GDPR) e strutturazione della procedura interna di conferimento
delle nomine; l’attività include altresì la strutturazione del Registro delle attività del trattamento, nuovo adempimento
documentale previsto dal GDPR in capo sia al Titolare del trattamento che in capo a ciascun Responsabile interno o esterno
del trattamento;
28. SULLE ATTIVITÀ dello Studio legale
individuazione e redazione personalizzata degli atti di nomina a Responsabile esterno del trattamento, in base
ai contratti in essere vigenti; l’attività include altresì la strutturazione del Registro delle attività del
trattamento per i responsabili esterni del trattamento;
individuazione e redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi
dell’art. 29 del GDPR UE – di quelli che la normativa italiana ha fino ad oggi definito “incaricati del trattamento”; il GDPR
non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e
documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o
del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di
redigerle in base a quanto richiesto dal GDPR UE);
PACCHETTO PRIVACY -COMPLIANCE GDPR
29. SULLE ATTIVITÀ dello Studio legale
assistenza organizzativa in merito alla definizione e nomina della nuova figura del c.d. Data Protection Officer (DPO), ossia
una figura prevista dall’art. 37 del GDPR, interna o esterna all’azienda, e del tutto diversa dal responsabile del trattamento
previsto dal Codice Privacy. Si tratta difatti di una figura estremamente specializzata nel settore della data protection,
dotato di completa autonomia (ivi incluso il potere di spesa) che sovrintende, valuta ed organizza la gestione e protezione
dei dati nell’ambito del trattamento svolto.
L’obbligo di nomina del DPO non è generale ma relativo a titolari del trattamento pubblici e a titolari del trattamento
privati le cui attività principali comportino su larga scala trattamenti di dati sensibili, sanitari, genetici o biometrici o
trattamenti di dati personali che, in forza della loro natura, ambito di applicazione e/o finalità, richiedano un monitoraggio
sistematico su larga scala degli interessati; si segnala che il recente Parere del Gruppo dei Garanti UE del 16 Dicembre
2016 sull’obbligo di nomina del DPO ha dato chiarimenti in merito alle situazioni ed ai trattamenti che si pongono quali
presupposto dell’obbligo di nomina del DPO (ad es., il Parere menziona a titolo di esempio l’esistenza di contratti di
fornitura attivi con un elevato numero di utenti);
PACCHETTO PRIVACY -COMPLIANCE GDPR
30. SULLE ATTIVITÀ dello Studio legale
revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai
sensi degli art.13 e 14 del GDPR (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi);
adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione
delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione,
in base alle norme rafforzate del GDPR a tutela degli interessati;
revisione e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati
personali verso Paesi non appartenenti alla Unione Europea,ove necessari);
PACCHETTO PRIVACY -COMPLIANCE GDPR
31. SULLE ATTIVITÀ dello Studio legale
implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione
dei dati” (Privacy Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove
tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato
per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento,
una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documentazione; va
specificato che tale nuova procedura è del tutto interna e obbliga il Titolare a rivolgersi al Garante (che risponde con
parere motivato nelle 8 settimane successive) esclusivamente ove all’esito della valutazione il Titolare ritenga che le
misure intraprese non eliminino i rischi; solo a quel punto scatta una interlocuzione con il Garante che ricorda
l’attuale prior checking (l’interpello preventivo dell’art. 17 del Codice della privacy), che come tale è invece del tutto
abrogato come obbligo dal nuovo GDPR UE; in ogni caso si attenderà il provvedimento del Garante che elenca i casi
di PIA obbligatoria (o anche i casi contrari di PIA non obbligatoria);
PACCHETTO PRIVACY -COMPLIANCE GDPR
32. SULLE ATTIVITÀ dello Studio legale
implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art.
25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di
misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o
servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione
predefinita,solo i dati personali necessari per ogni specifica finalità del trattamento;
implementazione dei processi e della documentazione volti a garantire il nuovo di-ritto alla portabilità dei dati;
monitoraggio dei siti web ufficiale del Cliente ai fini della verifica dei contenuti legali privacy (informative,consensi,privacy
policies e operatività dei cookies in conformità al relativo Provvedimento Generale del Garante)
implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli
interessati previsti dal GDPR.
PACCHETTO PRIVACY -COMPLIANCE GDPR
33. DURANTE TALE FASE,TRA LE ALTRE,SARANNO PRESTATE LE SEGUENTI ATTIVITÀ,PREVIO SPECIFICO
AUDIT TECNICO-INFRASTRUTTURALE DI CONCERTO CON IL RESPONSABILE INFORMATION TECHNOLOGY DEL CLIENTE:
FASE DI ADEGUAMENTO tecnico informatico e infrastrutturale
Adeguamenti tecnici, infrastrutturali,
informatici, di implementazione delle
politiche tecniche di sicurezza come
richiesti dall’art. 32 del GDPR UE (ivi
inclusi i nuovi processi di limitazione del
trattamento e di pseudonimizzazione
dei trattamenti);
PACCHETTO PRIVACY -COMPLIANCE GDPR
Implementazione di un sistema di c.d.
data breach su reti e infrastrutture del
Cliente volta a dare attuazione agli
obblighi – anche documentali – di notifica
al Garante e/o agli interessati, ove sia del
caso applicabile l’art. 34 del GDPR UE –
delle violazioni di dati personali ai sensi
dell’art.33 del GDPR UE;
Tutte le eventuali attività di
certificazione e/o di adesione a
codici di condotta che il Cliente
vorrà implementare ai sensi di
quanto previsto dal nuovo GDPR UE.