La Certificazione ISO 27001 è uno standard che garantisce all’organizzazione la piena conformità al nuovo Regolamento Europeo UE 2016/679 GDPR (acronimo di General Data Protection Regulation), che diventerà pienamente efficace in tutti i Paesi membri il prossimo 25 maggio e che apporterà importarti modifiche alla disciplina del trattamento dei dati personali.

Con il nuovo regolamento cambieranno le regole per coloro che si trovano a maneggiare dati personali: ad esempio le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui l’utente si troverà a sottoscrivere un contratto contenente i suoi dati personali. Ogni azienda sarà chiamata ad aggiornare i sistemi di gestione dei dati, tramite un sistema di gestione che permette di tenere sotto controllo tutte le informazioni dell’azienda, del titolare, del/dei responsabili e degli incaricati dei trattamenti.

La validità della certificazione è triennale ma il suo mantenimento è subordinato a verifiche di sorveglianza svolte dall’organismo di certificazione ogni 12 mesi dalla data del primo audit di certificazione, pena l’annullamento e il ritiro del certificato stesso.

La certificazione non è obbligatoria ma il mancato rispetto del regolamento UE 2016/679 GDPR porterà all’applicazione di sanzioni molto elevate, che andranno da un minimo del 4% del fatturato annuo ad un massimo di 20 milioni di euro.

Il principale vantaggio della certificazione ISO 27001 è quello di rappresentare un prezioso aiuto per garantire la conformità al nuovo Regolamento Europeo sulla Privacy GDPR, il cui mancato rispetto comporta sanzioni elevatissime.

La valutazione dei costi e delle tempistiche necessarie all’ottenimento della certificazione da parte di un’azienda è possibile solo attraverso la rilevazione di una serie di dati aziendali. Tale valutazione dipende infatti da una serie di fattori tra cui la tipologia di settore, le dimensioni aziendali in termini di sedi operative e numero dipendenti, il numero di attività da certificare, ecc.

Con l’arrivo del Regolamento Europeo, lo scenario Privacy sta per cambiare notevolmente. Sono state infatti introdotte importanti novità che andranno ad impattare su Aziende, Studi Professionali, Amministrazioni Pubbliche, Associazioni ed Enti di vario genere. Il nostro team di consulenti è qui per accompagnarvi in questa transizione e per consentire alla vostra azienda di adeguarsi al nuovo Regolamento entro maggio 2018.

L’impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.

UNA BREVE SINTESI DELLE NOVITÀ INTRODOTTE DAL REG. 2016/679:

L’ambito di applicazione della disciplina europea in materia di Privacy viene esteso, per esempio:

• i requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati diventano più rigorosi (anche on line); si ricorda che è esclusa ogni forma di consenso tacito;
• vengono riconosciuti il diritto all’oblio (art. 17 Reg. eu.), cioè la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali, e il diritto alla portabilità dei dati (art. 20 Reg. eu.);
• vengono introdotti dei concetti della protezione dei dati personali “by design” (ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che durante l’esecuzione del trattamento) e “by default” (ossia che i dati vengano trattati solo per le finalità previste e per il periodo necessario a tali fini); • viene disposto l’obbligo di notifica in caso di violazione dei dati personali (“Data Breach”).

Ulteriori importanti novità:

• obbligo di ACCOUNTABILITY (cd. obbligo di responsabilizzazione e obbligo di rendicontazione) per il titolare del trattamento dei dati, che deve poter dimostrare di aver adottato misure adeguate ed efficaci e il proprio grado di conformità delle attività di trattamento con il Regolamento europeo, compresa l’efficacia delle misure impiegate;
• obbligo di DPIA – (Data Protection Impact Assessment)- (art. 35 Reg. eu.), ossia valutazione d’impatto sulla protezione dei dati, che il titolare del trattamento deve compiere qualora i trattamenti, prevedano in particolare l’uso di nuove tecnologie, o possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche., Tale valutazione permette al titolare di realizzare e dimostrare la conformità del trattamento dei dati alle norme del Regolamento europeo;
• obbligo di DPO(Data Protection Officer), ossia Responsabile della protezione dei dati, quale soggetto incaricato ad assicurare una corretta gestione dei dati personali nelle imprese e negli enti. Si ricorda che è prevista la designazione obbligatoria (art. 37 Reg. eu.) del DPO quando:

1. – il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni;
2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 Reg. eu. (ex dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10 Reg. eu.

SERVIZI OFFERTI:

• Rilevazione dello stato dei parametri di sicurezza in essere, l’identificazione delle banche dati esistenti ed il confronto degli standard di sicurezza rilevati con quelli previsti dalla legge;
• Definizione ed assistenza all’implementazione di un sistema organizzativo – gestionale conforme con quanto richiesto dalla legge (definizione organigramma, formulazione lettere di incarico e nomine);
• Assistenza nella stesura degli atti e della modulistica privacy (anche per siti internet e relativa realizzazione della loro privacy policy) richiesta dal Codice in materia di trattamento dei dati personali;
• Tenuta di corsi di formazione in house sul Codice in materia di trattamento dei dati personali e sulla privacy policy aziendale adottata.
• Assistenza telefonica;
• Gestione dei rapporti con gli enti di controllo;
• Aggiornamento normativo in materia di privacy.