Il 25 Maggio 2018 è entrato in vigore in Europa il nuovo Regolamento comunitario in tema di trattamento dei dati personali, noto come GDPR (General Data Protection Regulation). La nuova normativa disciplina la regolamentazione a livello europeo, introducendo cambiamenti procedurali e documentali che le società devono applicare.
L’adeguamento al GDPR, ovvero la nuova normativa in materia Privacy, è un’attività obbligatoria per tutte le società che trattino dati personali dei cittadini dell’Unione Europea.
Il team Fiscalità e Compliance di Ayming accompagna il cliente nella creazione di un modello organizzativo costruito sulle specifiche esigenze derivanti dal core business, dalla tipologia dei dati trattati e dai soggetti coinvolti a livello aziendale.
L’approccio di Ayming mira a rispettare la struttura organizzativa e le prassi già in uso per consentire la realizzazione di una conformità adattata alle esigenze specifiche e sostenibile nel tempo.
Ogni documento finale viene definito in accordo con il cliente allo scopo di sviluppare strumenti di lavoro efficienti e risolutivi per l’effettivo e costante mantenimento della compliance.
Ayming supporta i propri clienti anche nel caso di revisione dell’adeguamento GDPR già in uso mediante: l’implementazione operativa del modello, l’audit di revisione periodica e il supporto nella richiesta di certificazione volontaria in conformità alla norma ISO/IEC 17065.
Piano di adeguamento al GDPR: la metodologia di Ayming
Ayming supporta il cliente con un piano di adeguamento al GDPR attraverso un’analisi delle procedure di trattamento in essere e la creazione di un impianto documentale completo, come richiesto dalle normative vigenti.
Per garantire l’adempimento della normativa, Ayming adotta una metodologia così articolata:
- interviste alle diverse funzioni aziendali coinvolte nel trattamento dei dati personali;
- analisi delle attività di trattamento mediante identificazione della tipologia, degli attori coinvolti e valutazione del rischio connesso per ogni tipo di trattamento identificato;
- predisposizione di nuove modalità procedurali conformi alle novità normative;
- creazione e aggiornamento della documentazione da utilizzarsi nei confronti dei soggetti interessati;
- identificazione e correzione delle violazioni nelle misure di sicurezza, documenti in uso e prassi;
- creazione del Registro dei Trattamenti, strumento per documentare il trattamento dei dati a livello di attività, misure di sicurezza e soggetti coinvolti;
- formazione del personale;
- promozione dell’accountability interna: la società, in quanto titolare del Trattamento, deve essere in grado di dimostrare la propria Responsabilizzazione e Consapevolezza delle modalità di svolgimento delle attività di trattamento dei dati personali;
- applicazione del principio Privacy by Design e by Default: garanzia che ogni attività procedurale e uso di uno strumento informatico siano pensati e progettati sin dall’origine al rispetto della normativa;
- valutazione impatto Privacy: attività obbligatoria di verifica e stima dell’Impatto derivante da un trattamento; il documento va inviato al Garante della Privacy.