Sei sulla pagina 1di 4

Improving performance,

reducing risk

Il Regolamento generale
sulla protezione dei dati (GDPR)
Che cos’è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) offre una maggiore
tutela alle persone fisiche e rende le aziende più responsabili nell’uso dei dati
personali. Grazie a questo nuovo Regolamento, la protezione dei dati assume
una posizione di prima linea tra i processi aziendali, con un impatto significativo
sulla gestione delle informazioni personali relative sia ai clienti che ai dipendenti.

Il Parlamento Europeo, nell’aprile 2016, ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) [Regolamento
(UE) 2016/679], che entrerà in vigore a partire dal 25 maggio 2018.
Il Regolamento andrà a rafforzare il livello di tutela dei dati per tutte le persone fisiche all’interno dell’UE indipendentemente
da dove sono custoditi i dati. Messo a punto sulla base della legislazione esistente, il nuovo Regolamento mira a migliorare la
coerenza legislativa e le tutele già in vigore.

A chi si applica? effettuato o meno all’interno servizi ai suddetti interessati


L’articolo 3 del GDPR ne definisce il dell’Unione. nell’Unione, o il controllo del
campo di applicazione territoriale, • Il trattamento dei dati personali di loro comportamento all’interno
che riguarda: interessati (es. persone in vita) che l’Unione.
• Il trattamento dei dati si trovano nell’Unione da parte di • Il trattamento di dati personali da
personali nel contesto delle un responsabile del trattamento parte di organizzazioni /aziende
attività delle organizzazioni / o incaricato del trattamento non stabilite nell’Unione, ma in un
aziende dell’Unione Europea, che non è stabilito nell’Unione, luogo soggetto al diritto nazionale
indipendentemente dal fatto quando le attività di trattamento mediante misure tecniche e
che il trattamento dei dati sia riguardano l’offerta di beni o organizzative adeguate.

I sei principi del GDPR 3. Adeguati, pertinenti e limitati a di archiviazione nel pubblico
L’articolo 5 stabilisce che i dati personali quanto necessario rispetto alle interesse o per finalità di ricerca
devono essere: finalità per le quali sono trattati. scientifica e storica o per finalità
1. Trattati in modo lecito, equo 4. Esatti e, se necessario, aggiornati; statistiche, conformemente
e trasparente nei confronti devono essere prese tutte le all’articolo 89, paragrafo 1,
dell’interessato. misure ragionevoli per cancellare o fatta salva l’attuazione di
2. Raccolti per finalità determinate, rettificare tempestivamente i dati misure tecniche e organizzative
esplicite e legittime, e inesatti. adeguate richieste dal
successivamente trattati in 5. Conservati in una forma che regolamento a tutela dei diritti e
modo non incompatibile consenta l’identificazione degli delle libertà dell’interessato.
con tali finalità; un ulteriore interessati per un arco di tempo 6. Trattati in modo da garantire
trattamento dei dati personali non superiore a quanto sia un’adeguata sicurezza dei
per finalità di archiviazione non necessario; i dati personali possono dati personali, compresa la
è, conformemente all’articolo essere conservati per periodi più protezione, mediante misure
89, paragrafo 1, considerato lunghi a condizione che siano tecniche e organizzative
incompatibile con le finalità iniziali. trattati esclusivamente per finalità adeguate.

Chi è responsabile I compiti minimi di un DPO vengono sensibilizzazione e formazione dei


della protezione dei dati? specificati all’articolo 39 del dipendenti, fornire pareri in merito
Il (Data Protection Officer - Regolamento: alla valutazione d’impatto sulla
DPO) rappresenta all’interno • Informare e consigliare protezione dei dati e provvedere
dell’organizzazione / azienda il volto l’organizzazione/ azienda e i suoi alla conduzione di audit interni.
indipendente della protezione dati. dipendenti riguardo agli obblighi • Fungere da punto di contatto per le
Tutte le organizzazioni / aziende vigenti in materia di protezione dei autorità di controllo sulle questioni
devono provvedere a dotarsi di dati. relative al trattamento dei dati
competenze e risorse sufficienti a • Sorvegliare l’osservanza del personali e al rispetto delle norme
soddisfare i propri requisiti di GDPR e, Regolamento, e delle altre vigenti in materia.
in alcuni casi, il Regolamento prevede disposizioni relative alla • Valutare i rischi inerenti al
anche la necessità di nominare un DPO. protezione dei dati, compresa la trattamento dei dati.
Come Lloyd’s Register vi può essere di aiuto?

WORKSHOP RESPONSABILE WORKSHOP VALUTAZIONE ISO: 22301:2012


PROTEZIONE DATI IMPATTO PROTEZIONE DATI (DPIA)

Se state per assumere il ruolo di Possiamo offrire una formazione ISO 22301:2012, la norma
DPO, il workshop di due giorni relativa alla DPIA con indicazioni internazionale per la continuità
di LRQA vi aiuterà a conoscere pratiche su come condurne una del business, identifica le buone
dettagliatamente ruolo e specifica per la vostra azienda. pratiche nella costituzione di un
responsabilità previsti per un DPO Se siete responsabili della sistema di gestione che minimizzi
dal GDPR. realizzazione di una DPIA, il nostro i rischi degli impatti derivanti da
Il nostro workshop vi offrirà gli workshop di un giorno presso un’interruzione nella fornitura
strumenti pratici per realizzare la vostra azienda vi offrirà una di servizi. Come la maggior parte
sistemi efficaci e coinvolgere guida pratica alla realizzazione degli standard internazionali per i
la vostra azienda per il pieno di una Valutazione d’Impatto sistemi di gestione, si basa sul ciclo
rispetto dei requisiti del nuovo sulla Protezione Dati (DPIA), che di Deming, ovvero: Pianificare - Fare
regolamento. comprende: - Verificare - Agire.
Al corso vi verranno fornite • Che cos’è una DPIA e quando la
informazioni su: si deve fare. Un sistema di gestione della
• il ruolo del DPO e su come • Raccomandazioni e continuità del business non solo
attuare e gestire, in qualità orientamenti dei vostri enti di aiuta le aziende a creare le strutture
di RPD, un sistema che sia normazione nazionali. per identificare potenziali minacce
conforme a quanto previsto dal • Le fasi di una DPIA e cosa si e valutare l’impatto causato da
GDPR. deve fare in pratica. incidenti e come affrontarli, ma
• come impostare un programma • Il rapporto tra la conduzione offre anche un contesto per la
di protezione dati conforme di una DPIA e altri interventi di gestione organizzativa attraverso
al Regolamento, che sia gestione del rischio e di project un processo di predisposizione di
sostenibile, efficace e basato sul management, come ad esempio strategie e metodi atti a ridurre
rischio. altri audit per la valutazione dei l’impatto del singolo incidente,
• come realizzare le relative rischi o protezione dei dati. sviluppando le capacità per
politiche, procedure e materiale • Quali aspetti legali e di rispondere efficacemente al suo
informativo sull’argomento. conformità alle norme vanno eventuale verificarsi. Alla luce di
• come promuovere il presi in considerazione nella ciò, un sistema di gestione offre
coinvolgimento a tutti i livelli vostra azienda. un meccanismo perfetto per la
aziendali e come comunicare gestione delle eventuali violazioni
con i vari stakeholder. nel campo della protezione dati.
• il ruolo del DPO in situazioni di
crisi.

5 fasi di attuazione 2. Mappatura dati 4. Implementazione piano


Identificare situazione attuale. Agire e attuare quanto pianificato.
Piano del Regolamento Qual è la situazione della vs. azienda? Definizione delle tempistiche
Identificazione dei rischi e degli di attuazione e gestione
Generale sulla Protezione interventi necessari, attraverso una dell’implementazione secondo gli
mappatura dei dati, il riesame delle obiettivi previsti dal piano d’intervento.
dei Dati (GDPR) politiche, dei processi e delle pratiche e
un’approfondita gap analysis.

1. Sensibilizzazione 3. Messa a punto di un piano 5. Gestire e migliorare il vostro sistema


Aumentare la conoscenza del GDPR d’intervento Dimostrazione conformità e impegno.
nella vs. azienda. Stesura piano d’intervento GDPR. Esame dei risultati ottenuti a oggi rispetto
Da una panoramica generale alla Coinvolgimento di tutti coloro che ai gap identificati nella fase 2.
conoscenza necessaria al singolo all’interno dell’azienda si impegneranno Riesame del sistema con controlli
ruolo per garantire il rispetto del ad attuare il piano assumendosene la continui per garantirne la costante
Regolamento. responsabilità. efficacia.
Lloyd’s Register
Via Cadorna, 69
20090 Vimodrone (MI)
Italy

Tel. : +39 02 365 7541


Email : certificazione@lr.org

Sito web : www.lrqa.it

www.lrqa.it

È nostra cura garantire che tutte le informazioni fornite siano corrette e


aggiornate. Tuttavia, Lloyd’s Register non è in alcun modo responsabile
in caso di eventuali imprecisioni o modifiche di tali informazioni.

Il nome Lloyd’s Register ed eventuali varianti dello stesso sono nomi commerciali
di Lloyd’s Register Group Limited e delle sue consociate e affiliate.

Copyright © Lloyd’s Register, 2017.