IL GDPR
Premessa:
"Chi scrive non è un avvocato": se negli ultimi mesi hai assistito a qualche webinar sul tema GDPR avrai notato che questo è il classico incipit. Non possiamo esimerci dal farlo nostro anche noi in questo contesto, perchè non siamo avvocati e quanto segue non può essere considerato un parere legale.
Come probabilmente saprai, il 25 maggio 2018 sono scaduti i termini per adeguarsi al Regolamento (UE) 2016/679, meglio noto come GDPR (General Data Protection Regulation).
Si tratta della più complessa normativa mai introdotta al mondo nell'ambito Privacy, che sostituisce, in ciascun Paese Europeo, ogni eventuale normativa vigente in termini di Privacy e trattamento dei dati.
Il GDPR coinvolge tutte le aziende e i professionisti e riguarda il trattamento dati personali dei Cittadini Europei a qualunque livello, online e offline.
In estrema sintesi e senza pretesa di esaustività, con l'applicazione delle nuove disposizioni:
- sono stati resi oggetto del trattamento i "dati personali" e non soltanto i "dati sensibili", come previsto dalla precedente normativa italiana in materia di Privacy;
- è stato introdotto il principio di Accountability, in parole povere la “responsabilizzazione” del titolare e del responsabile del trattamento in relazione alle scelte tecniche ed organizzative operate e alle misure adottate per garantire la protezione dei dati personali trattati;
- sono state introdotte regole più chiare su informativa e consenso;
- sono state stabilite modalità rigorose per il trasferimento dei dati personali al di fuori dell’UE;
- sono fissate norme precise di comportamento per i casi di violazione dei dati (data breach);
- sono state fissate regole specifiche per le attività ispettive e di controllo nonchè per il regime sanzionatorio in caso di accertata non compliance, che può arrivare fino al 4% del fatturato dell'ultimo anno (con un tetto di 20 milioni di Euro).
La proposta di Oblò.net
Oblò.net, in qualità di fornitore di servizi internet, gestisce parte dei dati personali dei propri clienti o da questi raccolti: siamo quindi "giocoforza" coinvolti dal GDPR dei nostri clienti e naturalmente siamo a disposizione dei loro consulenti Privacy per fornire tutte le informazioni di cui necessita per ottemperare all'adeguamento GDPR in relazione ai servizi dai noi forniti.
Nei mesi di avvicinamento alla scadenza del 25/05/2018, però, ci siamo anche resi conto che tantissimi nostri clienti erano del tutto impreparati allo "tsunami" che di lì a poco li avrebbe travolti.
Per questo motivo, abbiamo stretto una collaborazione con uno studio legale torinese specializzato nelle tematiche della Privacy e del diritto informatico e abbiamo attivato GDPR JumpStart: un pacchetto di servizi consulenziali pensato per supportare aziende e professionisti in questo complesso e delicato adempimento, quantomeno per le attività minime di cui tutti devono tenere conto, quelle volte a mitigare la propria posizione rispetto agli organismi di controllo.
In particolare, il servizio prevede la fornitura di due componenti che lavorano in sinergia fra di loro:
- un'applicazione Cloud specifica per la gestione del GDPR.
La particolarità dell'applicazione fornita da Oblò.net è che consente un approccio freemium, vale a dire che ha un primo livello di utilizzo completamente gratuito che consente al cliente di generare in autonomia un primo assessment da mettere a disposizione di Oblò.net per valutare il suo effettivo livello di complessità e formulare un'offerta personalizzata ad esso adeguata.
Inoltre, sempre nell'ambito della gratuità, la piattaforma consente al cliente, coadiuvato dal consulente messo a disposizione di Oblò.net, di iniziare la lunga e dispendiosa (in termini di tempo) attività di censimento dei trattamenti, degli incaricati, delle sedi, degli uffici, delle unità di archiviazione, dei rischi, delle contromisure etc e di rendersi così conto della relativa complessità del percorso di adeguamento al GDPR (non bastano due informative, magari fotocopia di altre, ma serve una profonda consapevolezza dei propri metodi di lavoro).
L'upgrade alla versione a pagamento è richiesto per poter produrre la documentazione relativa all'attività svolta: questo passaggio è ovviamente essenziale, non solo per poter prendere visione del risultato dei dati inseriti in una forma organica e rendersi quindi conto di eventuali incoerenze o lacune, ma anche perchè solo generando i registri e i documenti prodotti è possibile dimostrare uno stato di non inerzia e l'importante carico di lavoro fatto, e mitigare quindi l'eventuale impatto sanzionatorio. - la consulenza, sia tecnica che legale (resa da un avvocato specializzato nella tematica del GDPR), necessaria all'espletamento di tutte le funzionalità incluse nel pacchetto GDPR Jumpstart, affiancando di volta in volta le varie figure aziendali coinvolte.
La preponderanza della componente tecnica o legale della consulenza dipende dall'effettiva complessità della realtà del cliente.
Per realtà semplici o mediamente complesse, il consulente tecnico segue l'azienda nelle varie fasi della redazione del GDPR ed il consulente legale interviene solo nella fase di revisione finale o, su richiesta, nei nodi più critici della prima stesura del GDPR.
Per le realtà più complesse, invece, il consulente legale è a disposizione del cliente in tutte le fasi della consulenza.
Il flusso operativo del GDPR Jumpstart prevede quindi le seguenti fasi:
- il cliente compila la form presente in calce a questa pagina e riceve da Oblò.net via email il link per registrarsi, gratuitamente e senza impegno, alla piattaforma gestionale fornita da Oblò.net
- il cliente effettua la registrazione ed esegue, in completa autonomia, l'assessment: la compilazione deve essere il più possibile dettagliata e soprattutto veritiera. Ad esempio se l'azienda opera in più di una sede dovrà essere specificato e non si dovrà rispondere semplicemente "no" alla domanda pur di passare a quella successiva...
- il cliente invia ad Oblò.net il documento PDF dell'assessment prodotto dalla piattaforma
- Oblò.net produce l'offerta economica al cliente: vengono quotati il canone dell'applicazione (nella versione più adeguata in base al numero di dipendenti e all'obbligo o meno del DPO) ed il numero di ore minime necessarie di consulenza, suddivisa fra tecnica e legale
- In caso di accettazione da parte del cliente, si schedula la prima sessione di consulenza.
La consulenza viene resa direttamente presso la sede del cliente o da remoto tramite adeguati strumenti (telefono, Skype/Hangout, email, knowledgebase) centralizzati sulla nostra piattaforma di supporto, ed è liberamente acquistabile dal cliente a pacchetti di 2 ore, anche successivamente alla prima redazione del suo GDPR per ulteriori attività non comprese nel GDPR Jumpstart o comunque per le periodiche necessità di revisione/aggiornamento che il GDPR comporta.
Il servizio GDPR Jumpstart consiste nel fornire un "consulente qualificato che utilizza il software aziendale per sviluppare una completa check list" già in grado di produrre documentazione (ad esempio l'informativa sulla privacy o i registri dei trattamenti) utile a dimostrare l'assenza di inerzia da parte dell'azienda, non si può quindi considerare comprensivo di tutto quanto necessario ad un'azienda o un professionista per un adeguamento completo e costante nel tempo.
Le attività previste dal JumpStart hanno anche lo scopo di evidenziare le eventuali aree di criticità in cui sarà utile o necessario apportare correttivi, suggerire soluzioni, risolvere problemi: queste attività specifiche esulano dal pacchetto GDPR Jumpstart e il cliente può decidere autonomamente di affrontarle in tempi e modi a sua discrezione.
Le attività previste dal JumpStart hanno anche lo scopo di evidenziare le eventuali aree di criticità in cui sarà utile o necessario apportare correttivi, suggerire soluzioni, risolvere problemi: queste attività specifiche esulano dal pacchetto GDPR Jumpstart e il cliente può decidere autonomamente di affrontarle in tempi e modi a sua discrezione.
Dal GDPR Jumpstart sono escluse anche procedure più complesse inerenti la sicurezza informatica.
Per un adeguamento completo, l'azienda potrà decidere di avvalersi direttamente dello stesso studio legale con cui collabora Oblò.net, o potrà procedere in completa autonomia anche per tramite di altri consulenti legali o tecnici , che quindi si troveranno ad avere pronta e ben rappresentata la situazione dell'azienda e saranno così agevolati nelle attività successive.
Quali attività di consulenza sono comprese nel GDPR JumpStart?
La consulenza tecnica e/o legale compresa nel servizio GDPR JumpStart assiste il cliente nell'esecuzione delle seguenti attività:
- anagrafica/inquadramento societario
- censimento dei trattamenti
- generazione registri dei trattamenti
- analisi dei rischi (compreso censimento degli asset)
- piano dei trattamenti
- piano di intervento per minacce e contromisure
- generazione informative
Quali attività di consulenza NON sono incluse nel pacchetto Jumpstart?
Le seguenti attività non sono comprese nel pacchetto GDPR JumpStart: il cliente ha facoltà di gestirle con il supporto dei propri consulenti di fiducia, oppure conferendo mandato specifico agli specialisti che collaborano con Oblò.net sul tema GDPR:
- elaborazione dei trattamenti
- adozione contromisure e verifiche
- revisione contratti (se il jumpstart ne ha evidenziato necessità)
- DPIA (Data Privacy Impact assessment) o valutazione di impatto
- gestione data breach
- formazione
Vuoi ricevere un'offerta su misura per la tua realtà?
Per prima cosa devi fornirci alcuni dettagli sulla tua attività, sul tipo di dati personali che tratti e sulla modalità con cui lo fai.
Per raccogliere queste informazioni di base, dovrai registrarti, gratuitamente e senza impegno, alla piattaforma gestionale fornita da Oblò.net ed eseguire l'assessment compilando con cura il relativo questionario.
Per ricevere il link di registrazione alla piattaforma, compila la seguente form:
NB
La compilazione del questionario non costituisce alcun obbligo all'acquisto del servizio ed i dati raccolti saranno utilizzati esclusivamente al fine di poterti inviare un'offerta dedicata per il servizio GDPR Jumpstart: non saranno comunicati a terzi e non saranno utilizzati per alcuna altra finalità.
La compilazione del questionario non costituisce alcun obbligo all'acquisto del servizio ed i dati raccolti saranno utilizzati esclusivamente al fine di poterti inviare un'offerta dedicata per il servizio GDPR Jumpstart: non saranno comunicati a terzi e non saranno utilizzati per alcuna altra finalità.