Consulenza GDPR e Privacy

CEDEA SRL è l'agenzia di riferimento per la gestione del GDPR, la sicurezza dei dati e la privacy aziendale
Offriamo servizi professionali e completi per garantire la piena conformità al Regolamento Europeo GDPR 2016/679. Grazie a un team di esperti qualificati, forniamo consulenza GDPR a Roma, Colleferro, Milano e su tutto il territorio nazionale, supportando aziende ed enti pubblici nella gestione della sicurezza dei dati personali, nell'implementazione di sistemi privacy personalizzati e nella formazione del personale. Assicuriamo soluzioni su misura per ogni esigenza aziendale.

Elaborazione ed implementazione del Sistema Privacy
Progettiamo e realizziamo sistemi privacy personalizzati per garantire la conformità alle normative vigenti.

Valutazione del Rischio del Dato
Analizziamo i rischi associati al trattamento dei dati personali e proponiamo misure di mitigazione efficaci.

DPIA - Elaborazione Cookie Policy
Effettuiamo valutazioni d’impatto sulla protezione dei dati e sviluppiamo cookie policy conformi al GDPR.

Elaborazione Privacy Policy
Redigiamo privacy policy chiare e dettagliate, adeguate alle specifiche esigenze aziendali.

Gestione dati marketing e profilazione
Supportiamo nella gestione conforme dei dati per attività di marketing e profilazione degli utenti.

Assistenza nella compliance al Reg. UE Privacy 679/2016
Forniamo supporto completo per il rispetto delle disposizioni del GDPR a livello europeo.

Audit di verifica
Eseguiamo audit accurati per verificare la corretta applicazione delle normative sulla privacy.

Elaborazione incarichi/nomine dei responsabili
Prepariamo incarichi e nomine conformi alle normative per responsabili e sub-responsabili.

Incarico Responsabile della Protezione dei Dati
Nominiamo il Responsabile della Protezione dei Dati per supportare le aziende nella gestione GDPR.

DPO - Data Protection Officer
Il DPO è una figura obbligatoria per alcune aziende, incaricata di vigilare sulla conformità al GDPR.
Che cos’è il GDPR
Dal 25 maggio 2018 è entrato in vigore il regolamento europeo 2016/679 in materia di privacy, conosciuto con l’acronimo GDPR (General data protection regulation), relativo alla protezione dei dati personali.
Questo regolamento stabilisce come devono essere trattati i dati personali e come devono essere raccolti, utilizzati e protetti.
Il regolamento GDPR è volto a tutelare sia la protezione dei dati sia la loro circolazione.
Per “dato personale” si intende ogni “informazione riguardante una persona fisica identificata o identificabile (“interessato”)”.
È “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente attraverso:
- un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online;
- uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Soggetti interessati
Sono tenuti ad osservare la normativa sulla privacy le aziende, gli enti pubblici, e gli individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE e che pertanto devono applicare le norme contenute nel regolamento GDPR.
Informativa e consenso
I dati non possono essere raccolti per ogni iniziativa, ma possono essere raccolti e utilizzati solo per degli scopi specifici ed esplicitati nel consenso. Il consenso necessita di un’informativa (scritta o orale) semplice e facilmente comprensibile resa dal titolare del trattamento dei dati personali.
L’informativa consente infatti all’interessato di:
- avere un quadro complessivo delle finalità e modalità di utilizzo degli stessi;
- prestare il consenso avendo a disposizione tutte le informazioni necessarie;
- poter esercitare i propri diritti in relazione al titolare di riferimento.

Gli adempimenti del GDPR
Le figure chiave, relativamente ai dati personali e al regolamento GDPR, sono:
- il titolare;
- il responsabile dei dati personali da designare attraverso un contratto (o altro atto giuridico conforme al diritto nazionale), il quale regoli la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati e gli obblighi e i diritti del titolare del trattamento;
- il sub-responsabile, che può essere nominato dal responsabile previa autorizzazione scritta del titolare;
- l’incaricato che è la persona autorizzata al trattamento dei dati personali;
- il Dpo (Data Protection Officer o Rpd), che è responsabile della protezione dei dati per i soggetti privati da parte del titolare del trattamento.
Principio di accountability
Il titolare e il responsabile (inclusa la filiera di appaltatori e subappaltatori che utilizza i dati personali per suo conto) sono vincolati al principio di “Accountability”, vale a dire la responsabilizzazione (dinanzi al Garante e al giudice ordinario) all’adozione di comportamenti proattivi volti a:
- valutare l’impatto del rischio di perdite di dati, di accesso abusivo;
- predisporre un registro dei trattamenti in cui indicare i titolari e i responsabili del trattamento, e le misure di sicurezza dei dati; un data protection impact assessment (DPIA) per misurare impatto e conseguenze (sugli interessati) dei nuovi strumenti; l’organigramma privacy per chiarire ruoli e gerarchie nella gestione dei dati;
- prevenire le violazioni dei dati personali;
- nominare il responsabile del trattamento (RDP) con facoltà di nominare un subresponsabile (delle cui violazioni risponde il responsabile); il responsabile della sicurezza dei dati (il DPO, obbligatorio per la PA) che deve operare in piena indipendenza e in assenza di conflitti di interesse, anche sulla base di un contratto di servizio;
- dimostrare l’idoneità delle misure di sicurezza adottate.

Diritto all'oblio
Il regolamento introduce nuovi diritti quali il diritto all’oblio, alla limitazione e alla portabilità del trattamento. Il diritto all’oblio consiste nel diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano (e il titolare del trattamento ha l’obbligo di cancellare, senza ingiustificato ritardo, detti dati), laddove sussista uno dei seguenti motivi:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento;
- l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati in ottemperanza ad un obbligo previsto dall’UE o dallo Stato membro al quale è soggetto il titolare del trattamento.
Sanzioni
Sono previste sanzioni pecuniarie, oltre all’obbligo di risarcimento.
Per le violazioni più lievi: l’importo più alto tra 10 milioni di euro e il 2% del fatturato mondiale di gruppo dell’esercizio precedente.
Per le violazioni più gravi: l’importo più alto tra 20 milioni di euro e il 4% del fatturato mondiale di gruppo dell’esercizio precedente.
Vuoi sapere come CEDEA può aiutarti a garantire la sicurezza sul lavoro nella tua azienda? Visita la nostra pagina dedicata alla formazione aziendale e sicurezza sul lavoro a Roma per scoprire tutti i servizi disponibili o contattaci compilando il form sottostante.