Servizi di consulenza

Una gestione efficace del Modello Organizzativo Privacy, oltre a garantire la compliance normativa, aumenta la fiducia da parte dei clienti e il valore del business.

 

Studio Mazzolari offre servizi di privacy consulting e cyber security (inclusi servizi in outsourcing) in un’ampia gamma di aree per garantire che il business dei propri Clienti sia compliant e competitivo senza sovraccaricare di responsabilità il personale interno.

Durante i nostri 15 anni di esperienza nella consulenza e nella gestione della privacy abbiamo realizzato una combinazione unica di competenze giuridiche, tecniche e gestionali, in grado di guidare le aziende verso i propri obiettivi.

I nostri servizi di consulenza:

 
 

GDPR Compliance

Il 24 maggio 2016 è ufficialmente entrato in vigore il Regolamento 2016/679/UE (GDPR – General Data Protection Regulation) sulla protezione dei dati personali che dispiegherà la propria completa efficacia a partire dal prossimo 25 maggio 2018 quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento. 

 

Il 24 maggio 2016 è ufficialmente entrato in vigore il Regolamento 2016/679/UE (GDPR – General Data Protection Regulation) sulla protezione dei dati personali che dispiegherà la propria completa efficacia a partire dal prossimo 25 maggio 2018 quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

A chi si applica?
Tutti i soggetti economici che intendono offrire servizi, anche non a pagamento, a Interessati che si trovano all’interno dei confini dell’Unione Europea devono rispettare le prescrizioni del Regolamento indipendentemente da dove ha sede l’azienda o dove si trovano gli apparati con i quali i trattamenti vengono effettuati.
E in caso di inadempienza?
Il panico è comprensibile: solo le sanzioni amministrative possono raggiungere i 20 milioni di euro o il 4 % del fatturato mondiale totale annuo.

I principi cardine del GDPR


Accountability

Non ci sarà più come parametro di riferimento le c.d. “misure minime” della vecchia normativa (DLgs 196/2003), applicate le quali il Titolare poteva considerarsi al sicuro da possibili contestazioni, ma si tratterà di effettuare un’attività di valutazione che è rimessa alla sua responsabilità: in estrema sintesi sarà il Titolare, o il Responsabile del trattamento, che dovrà individuare ed applicare le “misure idonee” a garantire che il trattamento avvenga nel rispetto dei dettami normativi e senza rischi per le libertà e i diritti dell’Interessato.

Privacy by design
Il principio di PbD costituisce uno strumento indispensabile a creare le condizioni affinché alla protezione dei dati personali venga prestata la necessaria attenzione sin dalle fasi iniziali di progettazione di un prodotto/servizio/applicativo destinato a trattare dati personali.
Una tale scelta consentirà di applicare fin da subito soluzioni e misure di protezione in grado di garantire adeguati livelli di tutela ai dati trattati adottando, ad esempio, forme di offuscamento di una parte di dati, pseudoanonimizzazione, o altre idonee misure di protezione.
Più in generale al Titolare è richiesto di garantire la “Sicurezza del trattamento” prestando le necessarie attenzioni alle misure tecniche ed organizzative che avendo a riferimento la tipologia dei trattamenti, le finalità perseguite, la probabilità di accadimento e di gravità dei rischi connessi per i diritti e le libertà degli individui, garantiscano un contesto protetto nel quale tali trattamenti vengono effettuati.

Data breach
Ogni volta che si verifica una violazione di dati personali il Titolare deve notificare alla DPA (Data Protection Authority) competente e, in certi caso anche agli Interessati, l’accadimento entro 72 ore dal momento nel quale l’evento si è verificato o è stato rilevato.
Inoltre il Titolare è tenuto a documentare ogni violazione dei dati personali, le circostanze in cui si è verificata, le conseguenze nonché la descrizione delle attività svolte per porre rimedio o per limitare gli impatti dell’evento: tale documentazione deve essere messa a disposizione della DPA in caso di controlli.
Si tratta di un adempimento che richiede un notevole dispiego di energia poiché si dovranno implementare una serie di controlli sui processi di trattamento dei dati personali al fine di evitare le violazioni o, comunque, rilevarle tempestivamente per poter dar seguito alle previste attività di notifica
 

EU data protection

 
La tua azienda vuole fare business in Europa?
Se la tua azienda è stabilita fuori dall’Unione Europea e hai intenzione di fare affari nell’UE, è necessario comprendere i requisiti legali previsti per trattamento dei dati personali.
Le leggi sulla protezione dei dati dell’UE sono più rigide delle leggi in vigore sia nel continente americano che asiatico e le imprese devono pertanto implementare idonee procedure per poter trasferire e elaborare dati in Europa.

Con il nuovo regolamento comunitario sulla protezione dei dati (GDPR), la legislazione dell’UE in materia di protezione dei dati non lascia adito a dubbi in merito alla sua applicabilità: ogni azienda extra UE deve applicare in toto il GDPR quando il trattamento edi dati riguarda:
l’offerta di beni o la prestazione di servizi a interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

 

Privacy officer

Studio Mazzolari ha un’ampia e comprovata esperienza nell’assunzione del ruolo esterno di Privacy Officer per Aziende sia europee che internazionali.

 

Il nuovo GDPR obbliga molte aziende a disporre di un Privacy Officer (DPO, Data Protection Officer). Per vari motivi, tra i quali la mancanza di una risorsa interna che rivesta le caratteristiche tassativamente indicate dal Regolamento, molte organizzazioni scelgono di esternalizzare tale figura.

Studio Mazzolari ha un’ampia e comprovata esperienza nell’assunzione del ruolo esterno di Privacy Officer per Aziende sia europee che internazionali.
I nostri senior consultant possono efficacemente implementare un privacy management program direttamente presso il Cliente oppure mediante affiancamento e formazione del proprio staff.

Chi deve nominare un Privacy Officer?

Il Regolamento Privacy (GDPR) prevede la designazione obbligatoria di un Privacy Officer (DPO, Data Protection Officer) per le seguenti categorie di Titolari del Trattamento:

  • amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Come scegliere il Privacy Officer?

Il Privacy Officer, nominato dovrà:

  • possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati;
  • adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il Privacy Officer non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
  • operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (Privacy Officer esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Quali sono i compiti del Privacy Officer?

Il Privacy Officer dovrà, in particolare:

  • sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
    collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment);
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
 

Privacy audit

L’Incarico Privacy Audit offre una serie di attività volte alla verifica e all’analisi in materia di data protection per la valutazione del grado di conformità della propria organizzazione al GDPR e al primcipio cardine di accountability

 

“il Titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi: deve dimostrare in modo positivo e proattivo trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.”

L’Incarico Privacy Audit consente, pertanto, di chiarire tutti i dubbi relativi alla normativa di riferimento e fornire indicazioni pratiche e specifiche su come applicarla.

Il nostro Privacy Audit
L’Audit Privacy è composto dalle seguenti differenti fasi, finalizzate allo studio della situazione preesistente all’interno di un’organizzazione e al suo successivo adeguamento alla Normativa:

  • analisi documentale pre-audit, verifica della documentazione redatta in possesso dell’Organizzazione e in uso;
  • analisi approfondita dell’organizzazione di lavoro, dei relativi processi e procedure, del sistema informativo e relativo flusso dei dati, delle aree e dei locali nei quali sono custoditi e trattati i dati, analisi dei dati trattati (cartacei e digitali) con relativa identificazione ed organizzazione in banche dati, e loro classificazione sulla base delle categorie previste dalla normativa di riferimento, della loro modalità di archiviazione e trattamento, delle finalità del trattamento e delle relative misure di sicurezza adottate, nonché dei rischi che incombono sui dati stessi;
  • analisi del sistema informatico e dei relativi dispositivi di sicurezza in collaborazione con i Responsabili IT/Amministratori di Sistema (interni/esterni), attraverso un’attività di consulenza tecnico-sistemistica accurata finalizzata alla verifica delle policy di accesso ai dati, di archiviazione e di ripristino degli stessi.
Obiettivi
  • permettere al Management di evidenziare situazioni critiche o prassi errate nel trattamento dei dati personali;
  • permettere al Mangement di valutare correttamente eventuali investimenti in misure di sicurezza (minime o idonee);
  • fornire la prova di una costante verifica di conformità in merito al trattamento dei dati allegando il rapporto di audit al Registro dei trattamenti o al Modello Organizzativo Privacy adottato;
La documentazione che rilasciamo

Al termine delle attività di verifica, viene redatta una documentazione specifica, suddivisa in tre parti, che evidenzia il livello di conformità e il grado di rischio a cui l’Organizzazione è esposta:

  • Rapporto di audit: documento che fornisce una registrazione completa e accurata dell’attività di controllo e comprende i riferimenti agli obbiettivi dell’audit, il suo campo di applicazione (identificando le unità organizzative e funzionali o i processi sottoposti ad audit), identificazione del committente dell’audit, identificazione del gruppo di audit e dei partecipanti all’audit dell’organizzazione oggetto della verifica, le date e i siti dove sono state condotte le attività di audit, i criteri della verifica, le risultanze dell’audit e le relative evidenze, le conclusioni dell’attività di verifica e una dichiarazione sul grado i cui criteri  di audit sono stati soddisfatti. Il rapporto di audit può anche includere altri riferimenti appropriati.
  • Risk assessment: redazione del DPIA (Data Protection Impact Assessment). Considerata la tipologia di attività svolta e sulla base dei dati trattati e loro classificazione, tale Documento indicherà per ogni misura di sicurezza che l’Organizzazione è tenuta ad ottemperare il relativo livello di compliant rispetto alle norme di riferimento e discipline di settore (Conformità, Parziale Conformità o Non Conformità).
  • Risk management: redazione del Piano delle Azioni Correttive (PAC): tale Documento indicherà i correttivi adeguati, le azioni da intraprendere, le misure minime e idonee di sicurezza e di protezione da adottare, la formazione del personale coinvolto, e nuove soluzioni tecnologiche, per poter adeguare il Modello Privacy dell’Organizzazione alla normativa di riferimento e alle discipline di settore di riferimento. In funzione anche degli obiettivi dell’audit, tale documento indicherà quindi l’esigenza di correzioni o azioni correttive di tipo preventivo e/o di miglioramento.
 

Cyber security audit

Attraverso nostri Partners di comprovata esperienza internazionale anche nei mercati più sensibili ed esigenti in materia di cyber security (Stati Uniti e Israele, tra gli altri) offriamo l’attività di cyber security auditing finalizzata a testare, monitorare e implementare la sicurezza dei vostri network, dati, infrastrutture e comunicazione mobile.

 

Al termine del cyber security audit possiamo affiancare l’azienda nel processo di adozione di idonei prodotti/servizi per la riduzione al minimo dei rischi di hackers, ransomware, spionaggio commerciale, intercettazione e attacchi informatici in grado di distruggere il business anche in termini di sanzioni amministrative (ai sensi del GDPR, il “costo” di una mancata compliance normativa nei casi più gravi può raggiungere i 20 milioni di euro, o se superiore, il 4% del fatturato annuo mondiale) e di immagine.

Il nostro Cyber Security Audit
Prova
Obiettivi
Prova
La documentazione che rilasciamo
Prova