Rispettare il GDPR potrebbe non essere così semplice. Ma noi lo rendiamo tale.

Tutti ti offrono programmi indipendenti, consulenze ed aiuto per risultare conforme al regolamento generale sulla protezione dei dati. Nessuno ti spiega come quei dati vanno trattati, salvaguardati e conservati.

Contattaci Scopri di più

Che si tratti di un negozio, di un studio o di un’impresa, se i dati personali dei clienti vengono elaborati in qualunque maniera, è necessario attenersi al GDPR.

GDPRocket nasce per aiutare le aziende e i professionisti di ogni settore a comprendere come rispettare il regolamento generale sulla protezione dei dati in ogni sua forma.

Contattaci

Oppure mandaci una email a info@gdprocket.com

RoadMap

Il nostro è un servizio chiaro e preciso. Per questo abbiamo deciso di mostrare fin da subito ai nostri clienti, in maniera trasparente, una tabella di marcia che comprenda i principali passi necessari per raggiungere la conformità al GDPR.

1

Analisi conoscitiva

Rilascio di:
Studio tecnico-giuridico specifico a seconda delle necessità del cliente, previa compilazione di un questionario conoscitivo da parte del cliente stesso

2

Valutazione interventi

Elaborazione di un piano relativo agli interventi da porre in essere ai fini dell’adeguamento alla disciplina comunitaria

3

Consegna documentazione

Rilascio di:

  • Attestato del livello di conformità alla normativa
  • Privacy Policy
  • Cookie law
  • Analisi rischio
  • Linee guida per miglioramenti
  • Livello totale compliance

4

Piani di mantenimento del livello di compliance

  • Interventi tecnico operativi
  • Proposta piani di mantenimento o raggiungimento della compliance ad hoc
  • Proposta di piani di azione, diretti e indiretti

I Nostri Specialisti

GDPRocket garantisce al cliente una squadra competitiva, formata da un team di legali esperti e di tecnici altamente specializzati. Lo staff è inoltre integrato con un reparto di operativi che ha il compito di svolgere tutte le altre attività volte alla realizzazione di ogni singolo progetto.

Giacomo Napoli
Claudia Crisalli
Andrea Fantini
Michela Franzò

FAQ

Il Regolamento Europeo sulla protezione dei dati personali (“GDPR”, n. 2016/679), entrato in vigore il 25 maggio 2018, ha ridisegnato la complessa normativa in tema di privacy, imponendo di effettuare considerevoli modifiche alla propria organizzazione a tutti i soggetti che trattano dati personali.

01Che cos’è il GDPR?
Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa è entrata pienamente in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2018. Il GDPR introduce importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.
02 Come faccio a sapere se il GDPR si applica alla mia attività?
Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il GDPR si applica anche a imprese ed enti che hanno sede al di fuori dell’Unione Europea, ad esempio se vendono beni o servizi, anche via internet, all’interno dell’Unione Europea.
03Ma che cos’è un dato personale?
Un dato personale è qualunque informazione riconducibile ad un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale, il gruppo sanguigno, eventuali liste di malattie da esso contratte o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.
04Quali sono le mie responsabilità come azienda o studio e cosa rischio?
Ai sensi del GDPR, dovrai adottare tutte le misure di protezione dei dati previste dalla normativa. Ecco alcuni esempi di quello che dovrai fare per adeguarti al GDPR:
  • informa in modo chiaro, semplice e non “legalese” i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
  • chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
  • assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un'altra azienda (i.e. portabilità);
  • in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – dovrai darne comunicazione entro 72 ore all’Autorità di controllo;
  • nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati
05Esistono violazioni del GDPR più gravi di altre?
Sì e sono divise in due grandi categorie. 1 - Le cosiddette “violazioni di minore gravità”. Prevedono sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo, come chiarito dalle Linee Guida del Gruppo di Lavoro WP Art. 29 n. 253), fino al 2% del fatturato totale annuo dell’esercizio precedente che riguardano gli obblighi imposti ai seguenti soggetti:
  • il titolare ed il responsabile del trattamento (art. 8, 11, da 25 a 39, 42 e 43 GDPR)
  • l’organismo di certificazione
  • l’organismo di controllo dei codici di condotta (art. 41 GDPR)
Esiste inoltre un secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte. Le penali ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:
  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • dei diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR
06Conservare i dati sensibili degli utenti attraverso terze parti ci scarica da ogni responsabilità?
Assolutamente no. Sebbene questo basti a certificare l’adesione al sistema del GDPR, a meno che il responsabile del trattamento non dimostri chiaramente che "non è in alcun modo responsabile per l'evento che ha causato il danno", in caso di incidente/breccia/perdita di dati, il responsabile aziendale e la società tutta andranno incontro ad una delle multe tra le più esose. Noi di GDPRocket ci occupiamo proprio di questo: oltre ad una consulenza informatica, sottoponiamo al cliente la soluzione migliore da adottare per proteggere i dati dei propri utenti facendo in modo che l’azienda che vorrà seguire i nostri consigli non incorra in eventuali responsabilità o sanzioni.
07Sono veramente così tanti i furti di dati che avvengono online?
La risposta semplice è: sì. Il 2018 è stato l’anno nero in tema di furti dei dati online. Sono avvenuti oltre 10mila attacchi, stando al rapporto della Polizia Postale. Hanno perso dati sensibili colossi come Facebook, Google+, Netflix e Microsoft. Per gli utenti e le aziende si tratta di informazioni vitali. Per gli hacker questi profili non valgono più di, generalmente, 2€ circa. Questo certifica ancora di più quanto sia necessario contrastare questo fenomeno mettendosi in regola il prima possibile e puntando a rispettare e soddisfare tutti i criteri richiesti dal GDPR.
08Come viene identificata una “terza parte”? GDPRocket è una terza parte affidabile per concludere un “Accordo per il trattamento dei dati personali”?
Una “terza parte” viene identificata come una società che offre un servizio, in questo caso, di supporto. Il GDRP (art. 28, comma 3) prevede che il trattamento dei dati personali da parte di un responsabile per conto di un titolare sia regolato da un contratto o un altro atto giuridico vincolante, in cui siano definiti, tra l’altro:
  • la natura e le finalità del trattamento
  • le misure di tecniche e organizzative adottate
  • i diritti e gli obblighi delle parti.
09Cosa si intende per valutazione del rischio privacy e valutazione di impatto privacy?
La valutazione del rischio consiste nella individuazione dei rischi che un trattamento di dati può comportare per i diritti degli interessati e consiste nell’individuare la possibilità e la gravità dei danni che possano essere causati dal trattamento stesso. La valutazione del rischio va effettuata da ogni soggetto che tratti dati. Individuati eventuali trattamenti ad “elevato rischio”, si procede, solo su di essi, alla valutazione di impatto, consistente nell’esame di altri aspetti riguardanti la proporzionalità e necessità del trattamento rispetto alle finalità perseguite, nonché l’adozione di idonee misure di sicurezza poste a garanzia degli interessati.
10Come faccio a sapere se sono conforme o meno al GDPR?
All’esito dell’attività svolta GDPROCKET rilascerà un documento attestante la compliance della tua azienda al GDPR, corredato - nel caso di non totale conformità alle norme del regolamento - da un parere sugli adempimenti da porre in essere per conformarsi totalmente alla normativa.