Se siete alla ricerca di una consulenza privacy a supporto di tutti gli adeguamenti alla normativa di protezione dei dati personali per la vostra organizzazione, con sede nella Regione Lazio, avete necessità di supporto giuridico sull’ordinamento relativo alla protezione dei dati personali sia nazionale che europeo, oppure approfondimenti e/o pareri legali su di uno specifico tema giuridico data protection, ivi compresi gli aspetti tecnologici ed informatici, noi riteniamo che – nel mare magnum delle varie offerte – siete arrivati nel posto giusto.
Ci occupiamo di protezione dati, consulenza in merito alla normativa privacy e sicurezza IT – oltre a tante altre attività – sin dal 1995. Se avete urgenza di contattarci, seguite il link alla nostra pagina dei contatti.
Ancor’oggi, a distanza di oltre 5 anni dall’entrata in vigore del Regolamento UE 2016/679, la maggioranza delle aziende e (purtroppo anche) degli enti pubblici ritiene che la compliance alla normativa privacy sia un mero aspetto burocratico, oppure di sempice compliance sulla carta.
Nell’anno trascorso abbiamo ulteriormente realizzato come questo approccio formalistico ed illusorio abbia travisato l’essenza stessa della protezione dei dati; sono state trasmesse – alle varie Autorità di Controllo Europee, oltre 100.000 notifiche di data-breach, alcune delle quali – eclatanti – hanno riguardato purtroppo ambiti pubblici e sanitari nazionali, coinvolgendo milioni di cittadini (pazienti) italiani.
Una delle principali chiavi di lettura del GDPR è il passaggio dalla protezione dei dati personali alla protezione della intera architettura di trattamento; quindi non ci si focalizza solo a proteggere il singolo lingotto nel caveau, ma occorre proteggere tutta la Banca, in quanto servizio essenziale ai cittadini e – in ultima analisi – alla economia europea, oggi basata prevalentemente sui dati e sui servizi digitali.
Vogliamo inizialmente rendervi alcune informazioni generali sulla normativa privacy attualmente in vigore, in particolare sul Regolamento UE 679/2016, in acronimo RGDP o GDPR.
Il Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 ed è divenuto operativo, in tutti gli Stati membri, sin dal 25 maggio 2018.
Rispetto alla normativa privacy previgente, il Regolamento (in acronimo R.G.D.P. o G.D.P.R.) ha introdotto importanti innovazioni non solo per i cittadini (i soggetti tutelati), ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti hanno certamente più responsabilità, ma un framework regolatorio adeguato, al passo con lo sviluppo tecnologico, determina effetti positivi nel mercato dei servizi digitali europeo, a supporto di tutto il comparto economico.
Inoltre, ricordiamo sempre alle organizzazioni che le misure di dataprotection adottate per i trattamenti di dati personali, determinano un miglioramento della resilienza di tutta l’infrastruttura informativa adottata, e quindi – in ultima analisi – della continuità operativa di tutti i processi di business aziendali – siano essi informatizzati che cartacei.
Quindi protezione dei dati personali non come mero adempimento alle normative, ma come punto di forza delle organizzazioni europee; questo è alla base della nascita del Regolamento 679/2016, da parte del nostro Legislatore Europeo.
Sono trascorsi oltre 5 anni dalla piena applicazione del Regolamento UE 679/2016; il panorama della compliance attuale mostra luci ed ombre. Ci sono realtà che hanno raggiunto un alto livello di compliance alla normativa privacy (più corretto definirla normativa dataprotection), mentre alcune sono ancora in alto mare. Si pensi che alcune organizzazioni non hanno ancora nominato un Responsabile della Protezione dei Dati, pur rientrando tra quelle in obbligo di nomina.
Spesso troviamo siti web aziendali che non sono compliant, che non hanno la necessaria informativa privacy, ne l’informativa dei cookies, oppure non sono aggiornati da tempo e quindi sono insicuri; la vetrina aziendale è trascurata ed abbandonata, trasmettendo quindi all’esterno una inadeguatezza, non solo alle normative.
Raggiungere la compliance alla normativa di protezione dei dati personali non è una attività una-tantum. Occorre consapevolezza, volontà ed impegno costante. Occorre innanzitutto che l’azienda condivida la visione strategica che tutelare i dati dei soggetti terzi che essa ha in custodia significa valorizzare le proprie attività e tutelare il proprio futuro. Questo a prescindere dalle eventuali sanzioni o dai possibili incidenti privacy; proteggere al meglio i dati degli interessati infonde sicurezza sia verso i clienti che verso le altre organizzazioni che affidano dati di terzi, per attività esternalizzate quale responsabile esterno.
Cogliamo l’occasione per rafforzare le aziende italiane ed europee.
La compliance alla normativa privacy e di protezione dei dati personali non rappresenta solo un mero adempimento burocratico, ma costituisce un fondamento solido per il futuro di qualsiasi organizzazione. La crescente consapevolezza delle persone riguardo alla sicurezza dei propri dati determina la selezione di realtà affidabili e responsabili. Un’azienda che dimostra un impegno serio per la protezione dei dati dei suoi clienti acquisisce fiducia e credibilità nel mercato di competenza. Questo determina un aumento della fedeltà dei clienti, la creazione di relazioni commerciali durature e la possibilità di attrarre nuovi clienti. Inoltre, una seria compliance di protezione riduce il rischio di violazioni dei dati, che possono comportare gravi conseguenze non solo a carico degli interessati, ma oneri finanziarie e perdita reputazionale a carico dell’azienda. Investire quindi nella protezione dei dati personali significa investire nella solidità e nella sostenibilità dell’azienda nel lungo termine, garantendosi un vantaggio competitivo e la capacità di affrontare – con fiducia – le sfide portate dalle evoluzioni normative e tecnologiche.
Nell’ultimo periodo, ogni anno trascorso affermiamo che questo “è stato il peggior anno per la sicurezza informatica delle nostre aziende”, sino a quando non arriva quello successivo e lo stato della sicurezza peggiora ulteriormente. Situazione ulteriormente aggravata dalla guerra in corso e le correlate azioni di cyberwar, portate da gruppi con grandi risorse e capacità.
Dobbiamo fare sistema per invertire questa spirale negativa, e tutti i vari attori coinvolti debbono fare – ciascuno – la propria parte.
Ma allora, cosa occorre fare?
Quindi dal 2018 non si tratta più di predisporre mera documentazione (le “due firmette sulle scartoffie” che menziona il Prof. Pizzetti, past president della Autorità Garante Privacy); si tratta di proteggere realmente i trattamenti dei dati delle persone fisiche. Oltre a costituire un diritto fondamentale delle persone, la protezione dei dati personali sta alla base della attuale – e speriamo ancor più – futura economia europea basata su dati e servizi digitali. Data-Protection, quindi, non più quale attività “spot”, ma un processo costante, verificato e dimostrabile. Noi crediamo che occorra definire un modello organizzativo privacy (che noi chiamiamo DataProtection Model) su misura della azienda, all’interno del quale formare consapevolezza, predisporre procedure efficaci, effettuare controlli periodici, rivalutare costantemente quanto fatto, in un ciclo virtuoso teso al miglioramento continuo.
Diversamente, sul cammino della organizzazione incombono violazioni privacy, perdita della reputazione e della fiducia di clienti – utenti – pazienti – cittadini, incertezza della continuità operativa e dello stesso futuro aziendale.
Quali caratteristiche dovrebbe avere una seria consulenza privacy aziendale?
Il consulente privacy (noi preferiamo definirlo come consulente data-protection) fornisce un fondamentale contributo alla reale protezione dei dati. Esso deve essere un professionista che ha competenze, esperienza, formazione specifiche e multidisciplinari; deve assommare expertise in svariati ambiti, molto eterogenei e non acquisibili tramite un unico percorso di formazione, neanche universitario.Occorre avere competenze di crittografia ellittica (la utilizzano i componenti software dei mailserver attuali, come Postfix), unitamente a competenze giuridiche, di management e di gestione organizzativa, cosi come dei framework di sicurezza e delle best practicies. Per questo è fondamentale disporre di un team di professionisti che assommano le molteplici e necessarie competenza specialistiche; mai come oggi, è difficile avere competenze in tutti i campi necessari; ecco perche il nostro team è formato professionisti senior con competenze legali, di processi aziendali, di management, di sicurezza informatica, di formazione, di audit & assessment, di frameworks e standards internazionali, ecc.
SAPPIATE CHE UN CONSULENTE PRIVACY DEVE PROMUOVERE LA CONSAPEVOLEZZA DI TUTTI E SENSIBILIZZARE L’ORGANIZZAZIONE IN MERITO AL VALORE DELLA PROTEZIONE DEI DATI, SIA PER LE AZIENDE CHE – IN ULTIMA ANALISI – PER LA NOSTRA ECONOMIA BASATA SUI DATI.
Il panorama delle consulenze privacy nel LAZIO e nelle sue varie zone.
Spesso ci troviamo a competere con realtà che si occupano di “tutto quanto occorre ad una azienda“: esse propongono consulenza in ambito salute e sicurezza del lavoro, ambiente, HACCP, modello organizzativo 231, cyber-security, responsabilità sociale, certificazioni ISO, e quant’altro (addirittura acquisiscono ruoli di DPO). Noi crediamo che sia molto difficile esprimersi al meglio in tutti i vari campi operativi, e che questo sia possibile solo ai grandissimi studi di consulenza internazionale.
Il nostro focus specifico è la consulenza privacy, meglio definita come consulenza sulla protezione dei dati personali; in questo ambito operiamo al meglio, da quasi trent’anni; svolgiamo attività professionale inerente a consulenza e formazione per la conformità alla normativa di protezione dei dati personali e di sistemi e strumenti di trattamento, a favore di imprese ed organizzazioni private o rivolte alla Pubblica Amministrazione. Come spesso diciamo ai nostri corsi di formazione, e questo appare incredibile ai più giovani, “abbiamo iniziato ad occuparci di sicurezza informatica quando i personal computer non avevano ancora credenziali per l’accesso”. Chiedete i nostri curricula e confrontateli con quelli degli altri vs. candidati consulenti privacy.
Riservatezza , serietà e adesione ai codici etici delle nostra associazioni professionali
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; inoltre, alcune organizzazioni gestiscono segreti industriali o strategici, e per questo motivo ci occupiamo direttamente di tutti gli aspetti, dal primo incontro alla valutazione finale. Per vari motivi – ma in primis per la sicurezza delle infrastrutture – non assegniamo nessuna mansione all’esterno del nostro studio professionale. Qualora non disponiamo – all’interno del nostro team di professionisti – delle competenze adeguate per svolgere al meglio l’incarico professionale necessario, preferiamo declinarlo. Siamo inoltre associati alle più significative associazioni del settore data-protection ed aderiamo ai rispettivi codici etici.
Conosciamoci di persona per comprendere se siamo il vostro studio di consulenza privacy.
Se necessitate di una consulenza privacy, specialmente se la vostra organizzazione ha sede in regione LAZIO o nelle sue varie città e province, non siamo molto distanti e preferiamo incontrarvi di persona per conoscerci e raccontarvi chi siamo e cosa possiamo fare per la vostra azienda. Richiedeteci un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento.
Oppure anche solo per rafforzare alcuni aspetti della vostra infrastruttura informativa o migliorare i processi di trattamento della vostra organizzazione; sempre meglio prevenire (comportamento pro-attivo) che intervenire ex-post (dopo il data-breach). Contattateci per ogni vostra necessità.
Svolgiamo quindi attività professionali di consulenza e formazione privacy – data protection, protezione dei dati personali, consulenza e formazione GDPR RGPD in tutte le province e comuni della Regione Lazio, quindi Frosinone, Latina, Rieti, ROMA, Viterbo ed i loro vari comuni e città.
Studi Commerciali e GDPR
Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale? Lo studio commerciale ha nel proprio core-business…
GDPR art. 42 Certificazione
Da alcune settimane, UNI (Ente Italiano di Normazione) ha pubblicato una nuova Prassi di Riferimento UNI/PdR 43:2018, frutto di un…
Svizzera e GDPR
Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando. Mi scrive un caro amico che lavora in…
EU Cybersecurity Certification Scheme
Il 31 gennaio è stato adottato il primo schema di certificazione della cybersecurity a livello UE, denominato European Union Cybersecurity…
GDPR e sanità, le regole del Garante per studi medici, farmacie ed aziende sanitarie
L’Autorità di Controllo italiana (Garante Privacy), in apposito provvedimento, ha specificato le regole da adottare da parte di medici, farmacie…
Consulente Privacy
Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la…