Il documento delinea un piano di assessment per la compliance al Regolamento UE 2016/679 (GDPR), evidenziando le principali novità e adempimenti richiesti per le aziende. Si propone un approccio strutturato che include la creazione di un team privacy, la custodia di registri di trattamenti, audit di conformità e procedure per la gestione del data breach. In particolare, l'importanza di un'analisi del rischio è sottolineata quale strumento chiave per garantire un adeguato livello di protezione dei dati personali.

1. Il piano di assessment per la compliance
secondo il Regolamento UE 2016/679

2. Il Regolamento UE 2016/679 è entrato in vigore il 24 maggio 2016
e si applicherà a decorrere dal 25 maggio 2018
▪ Come impostare il percorso di adeguamento al nuovo Regolamento europeo ?
▪ Quali sono le principali novità previste dal GDPR ?
▪ Quali sono i nuovi adempimenti richiesti ?
LA NUOVA PRIVACY NEL REGOLAMENTO EUROPEO N. 2016/679

3. Nuovi diritti per gli
Interessati
Nuovi obblighi per i
Titolari
Nuovi adempimenti
organizzativi per le
aziende
tenuta del registro dei
trattamenti, approccio basato
sulla valutazione del rischio
(Accountability), la valutazione
di impatto, la notifica del c.d.
«data breach», DPO, DPIAs,
privacy by design.
la formalizzazione dei
rapporti tra titolari e
contitolari, titolari e
responsabili, responsabili e
autorizzati, nomina del DPO,
obbligo di formazione e di
nuove misure di sicurezza.
un’informativa più dettagliata,
il diritto alla portabilità dei
dati, il diritto alla limitazione
del trattamento, il diritto
all’oblio.

4. IL PROCESSO DI ADEGUAMENTO CHE DEVE COMPIERE
L’AZIENDA
Primo obiettivo per l’Azienda: sviluppare una cultura aziendale interna volta a sensibilizzare
tutti i soggetti preposti al trattamento dei dati personali (Titolari, Contitiolari, Responsabili,
Sub-Responsabili e soggetti Autorizzati alle operazioni di trattamento), anche attraverso
l’organizzazione di corsi interni di formazione per i propri dipendenti e collaboratori e
definendo un Piano di Assessment che evidenzi gli adempimenti da compiere:
A titolo esemplificativo:
• raccogliere e mappare i trattamenti dei dati esterni ed interni all’azienda verificando
che eventuali trasferimenti di dati personali verso paesi extra UE rispettino le prescrizioni
dettate dagli artt. 44 - 49 del GDPR;
• comprendere lo stato attuale di maturità sviluppato dall’azienda in materia di privacy e le
eventuali lacune nelle pratiche di sicurezza rispetto agli standard GDPR;

5. 5
definire• un “team privacy” all’interno dell’azienda, scegliendolo tra il personale
interno;
integrare• e potenziare i contenuti obbligatori dell’informativa per gli Interessati del
trattamento attraverso l’aggiornamento e la revisione di tutte le Informative
predisposte sulla base dell’attuale Codice Privacy;
aggiornare• il sito web aziendale, predisponendo una revisione anche delle Note legali,
dell’informativa estesa e della “Cookie Policy”, in ottemperanza al provvedimento del
Garante Privacy dell’8 maggio 2014 (informativa sull’utilizzo dei cookie);

6. 6
• predisporre una corretta contrattualizzazione dei rapporti, regolamentando per
iscritto mediante specifici “accordi interni” i rapporti fra i soggetti attivi del
trattamento dei dati, anche mediante la nomina di eventuali Contitolari o
l’inserimento di clausole contrattuali contenenti la nomina di Responsabili esterni e
Sub-Responsabili, al fine di ripartire le diverse responsabilità.
• redigere un Regolamento interno sulle misure organizzative (ad. esempio in
tema di utilizzo di internet e dei dispositivi elettronici forniti dall’azienda ai propri
dipendenti: PC, Smartphone, Tablet) idoneo ad assicurare la verifica dell’efficacia
delle misure di sicurezza adottate dall’azienda (art 24 par. II “dette misure sono
riesaminate e aggiornate qualora necessario”.)
• analizzare e valutare le caratteristiche dei trattamenti al fine di aiutare l’azienda a
garantire un livello di sicurezza adeguato al “rischio" individuato.

7. 7
• predisporre e tenere un Registro delle attività di trattamento (adempimento
sempre consigliabile in quanto dimostra lo spirito di adeguamento dell’azienda alla
nuova normativa europea; si veda sul punto il documento Working Party 29 Position
Paper on the derogations from the obligation to maintain records of processing
activities pursuant to Article 30(5) GDPR)
• creare procedure adeguate per consentire l’esercizio dei diritti (ed in particolare
quelli nuovi introdotti dal Regolamento UE) dei soggetti Interessati e stabilire le
procedure per garantire una corretta acquisizione (e revoca) del loro consenso;
• formalizzare una procedura per regolamentare eventuali casi di “data breach”
(quali, ad esempio, attacchi informatici, accessi abusivi, utilizzo non consentito dei
dati raccolti, ) per la segnalazione al Garante Privacy ed agli Interessati (nei casi in
cui è previsto l’obbligo di comunicazione).

8. DA QUALE ADEMPIMENTO PARTIRE ?
Dalla fissazione di un audit (Gap Analysis), ossia un’intervista svolta direttamente in
azienda e che rappresenta il primo passo per “mettersi a norma” rispetto alla nuova
normativa introdotta con il nuovo Regolamento Europeo.
Tale attività è finalizzata, in particolare a verificare:
 Il grado di conformità al Regolamento UE e alle privacy policy aziendali che tutti i
dipendenti sono tenuti ad osservare;
 la presenza di un privacy officer con competenze in ambito di compliance aziendale;
 la predisposizione di informative corrette e delle nomine scritte per i diversi soggetti
preposti alla gestione e/o al trattamento di dati personali; 8

9. 9
Le domande rivolte dal consulente in sede di audit sono dirette non solo a conoscere in che
modo i dati personali vengono raccolti e trattati ma hanno anche come obiettivo quello di
valutare lo status quo del grado di protezione ad essi assicurato rispetto a settori specifici
dell’azienda (p.e. reparto IT, reparto marketing).
L’audit privacy è uno strumento di verifica della conformità dell’azienda dai punti di vista
della conservazione e della protezione del trattamento dei dati e nel corso dell’incontro
vengono svolte anche verifiche formali nonché evidenziate situazioni critiche o prassi
errate.
L’audit privacy rappresenta un primo adempimento che porta l’azienda a prestare
attenzione a valutare se i trattamenti dei dati raccolti sono effettuati in conformità alle
prescrizioni dettate dal nuovo Regolamento UE.

10. IL REGISTRO DEI TRATTAMENTI
Art. 30 GDPR - Registri delle attività di trattamento
Registro delTitolare (I paragrafo)
Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro
delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene
tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
del trattamento, del rappresentante del titolare del trattamento e del responsabile della
protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
10

11. 11
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o
un’organizzazione internazionale, compresa l’identificazione del paese terzo o
dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma
dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di
dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e
organizzative di cui all’articolo 32, paragrafo 1, GDPR

12. 12
Registro del Responsabile (II paragrafo)
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un
registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare
del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni
titolare del trattamento per conto del quale agisce il responsabile del trattamento, del
rappresentante del titolare del trattamento o del responsabile del trattamento e, ove
applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione
internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la
documentazione delle garanzie adeguate;

13. 13
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato
elettronico.
4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove
applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento
mettono il registro a disposizione dell’autorità di controllo.
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con
meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un
rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il
trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali
relativi a condanne penali e a reati di cui all’articolo 10 GDPR*.
* Il WP29 sottolinea che la formulazione dell'articolo 30, paragrafo 5, va interpretata nel senso che i tre tipi di
trattamento ai quali la deroga non si applica sono alternativi ("o") e il verificarsi di uno solo di essi comporta
l'obbligo di mantenere la registrazione delle attività di elaborazione.

14. 14
Il Registro dei trattamenti pertanto ha due finalità:
A) La tenuta del registro consente al Titolare di esibirlo all’autorità in sede di controllo,
nel caso il Garante lo richiedesse, consentendo al soggetto ispezionante di avere un
quadro completo di tutti i trattamenti, dei dati e delle misure di sicurezza già “a prima
vista”.
B) Mediante la compilazione di un registro dei trattamenti, e un suo costante
aggiornamento, il Titolare può impostare sin dall’inizio un approccio alla sicurezza
corretto, che tenga in ogni momento sotto controllo il flusso del dato e, allo stesso
tempo. la corretta gestione da parte di chi tratta il dato stesso.

15. 15
E’ inoltre necessario predisporre due ulteriori registri:
A) Quello relativo delle attività di formazione, che deve contenere informazioni
relative p.e. ai dati identificativi del soggetto che svolge la formazione, l’ambito di attività
coinvolto nella formazione, i soggetti destinatari della formazione stessa, i dati relativi
alla periodicità dei corsi di formazione, comprensione degli istituti giuridici.
B) Quello relativo alla registrazione di eventuali “data breach”, il quale a sua volta dovrà
contenere informazioni circa:
• Il dispositivo oggetto della violazione (computer, rete, dispositivo mobile, file o parte di
un file, strumento di backup, documento cartaceo, altro)
• Una sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati
coinvolti, con indicazione della loro ubicazione, le aree soggette a violazione

16. 16
Una• descrizione delle probabili conseguenze della violazione
Il• livello di gravità (basso/trascurabile, medio, alto, molto alto) della violazione dei dati
personali secondo la valutazione del Titolare
Le• misure tecniche e organizzative adottate/da adottare per contenere la violazione dei
dati e prevenire simili violazioni future
Data• e ora in cui si è verificata la violazione e della notifica della violazione all'Autorità
di controllo competente
Eventuali• motivi di ritardo della notifica della violazione o per cui non si è ritenuto di
effettuare la notifica all'Autorità di controllo e/o la comunicazione agli interessati della
violazione
• L’autorità di controllo competente

17. 17
Per un’efficiente gestione del data breach, è importante che il Titolare effettui una corretta
valutazione dei possibili rischi scaturenti da una violazione, anche al fine di:
- individuare con prontezza adeguate misure per arginare o eliminare l’intrusione;
- valutare la necessità di attivare le procedure di comunicazione e di notifica.
Il Titolare, inoltre, ai fini della valutazione, dovrà tenere conto di una serie di fattori, in
quanto le conseguenze della violazione possono variare a seconda:
- Del tipo di violazione e della natura dei dati violati (es. violazione di riservatezza, di
accessibilità o di integrità dei dati; dati sanitari);
- Della facilità con cui potrebbero essere identificati gli interessati (p.e. sono state utilizzate
tecniche di pseudonimizzazione o crittografia nel trattamento dei dati colpiti);
- Delle particolari caratteristiche del Titolare (es. ambito di attività economico o sanitario;
trattamento di dati sensibili).
E’ infine necessario, nell’ottica di assessment, che il Titolare predisponga tutta la
documentazione necessaria per procedere con la notifica della violazione all’autorità di
controllo competente nonché provvedere alla comunicazione della violazione stessa agli
Interessati, qualora si ricada nelle ipotesi previste dall’art 34 GDPR.

18. LE FIGURE COINVOLTE NEL TRATTAMENTO DEI DATI:
Titolare del trattamento
è il soggetto cui competono le
decisioni in ordine ad un
determinato trattamento (es.
committente)
Contitolare
è il corresponsabile del
trattamento (es. società del
gruppo/consulenti/
raggruppamenti di imprese etc.)
Responsabile del
trattamento
il soggetto preposto dal
Titolare ad un trattamento di
dati (es. fornitori esterni di
soluzioni IT e società di
manutenzione hardware e
software)
Responsabile della
protezione dei dati
Data Protection Officer
(DPO)
Sub - Responsabile del
trattamento
soggetto che può essere nominato
responsabile del trattamento da
parte del Responsabile
(art 28 GDPR)

19. 19
Il Regolamento ridisegna in parte l’organigramma privacy con l’introduzione di nuovi soggetti
e l’attribuzione di nuovi compiti e responsabilità.
Nel caso in cui un Titolare del trattamento prenda congiuntamente ad altro Titolare le
decisioni sulle finalità e le modalità del trattamento, sarà necessario procedere con la stipula
di un accordo di contitolarità il cui accordo interno dovrà rispettare i contenuti di cui
all’art. 26 del GDPR, in particolare relativamente al riparto di responsabilità e
all’individuazione del punto di contatto per gli Interessati, ai quali dovrà, inoltre, essere reso
disponibile nei suoi contenuti essenziali.
Nel caso in cui, invece, un soggetto tratti i dati per conto del Titolare, sarà necessario
predisporre la nomina del Responsabile esterno del trattamento, ai sensi dell’art 28
GDPR mediante la stipula di un vero e proprio contratto, il quale può a sua volta contenere
anche la nomina di un Sub-Responsabile del trattamento, con gli stessi obblighi e soggetto
allo stesso rapporto di subordinazione del Responsabile, eseguendo specifiche attività di
trattamento sempre per conto del Titolare, previa sua autorizzazione scritta (generale o
specifica).

20. L’ANALISI DEL RISCHIO
Nel Regolamento Europeo GDPR, l’analisi del rischio privacy ha un ruolo
fondamentale: diventa lo strumento atto a dimostrare l’adeguatezza delle misure
implementate a tutela dei dati trattati.
Il GDPR non indica più puntualmente le linee guida per proteggere le informazioni
(come l’attuale Codice Privacy fa con l’allegato “B”), ma impone al Titolare
di dimostrare di trattare i dati in modo adeguato.
L’analisi del rischio è pertanto il principale metodo per impostare una politica
di protezione dei dati che non sia solamente efficace ma anche strettamente
collegata ad una realtà concreta. 20

21. 21
Registro dei
trattamenti
Individuazione dei
trattamenti
Valutazione dei
rischi
Definizione del
piano di
adeguamento al
GDPR
Raccolta dei dati
in base alla
tipologia, le
finalità, etc.
sia i trattamenti
già effettuati
dall’azienda sia
quelli da attuare
valutazione
volta alla
individuazione
dei rischi derivanti
dal trattamento
predisposizione
di azioni
finalizzate a
colmare i gap
evidenziati

22. Il GDPR, infatti, innalza ulteriormente il livello della sicurezza, richiedendo una valutazione
dell’impatto sulla protezione dei dati personali per l’attuazione di misure tecniche e
organizzative adeguate al rischio del trattamento
Non si parla più di misure minime ma di misure adeguate
In particolare l’art. 32 GDPR stabilisce che: “tenendo conto dello stato dell’arte e dei costi di
attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche
del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che
comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e
la resilienza dei sistemi e dei servizi di trattamento;

23. 23
.
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in
caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La lista dell’art 32, par. 1 è una lista aperta e non esaustiva (“tra le altre, se del
caso”).
Con la il GDPR non si prevedono obblighi generalizzati di adozione di misure ”minime” di
sicurezza (ex art 33 Codice Privacy) essendo rimessa questa valutazione, caso per caso, al
Titolare e al Responsabile in rapporto ai rischi specificamente individuati, in ottemperanza
all’art 32 GDPR*.
* E’ possibile anche utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare
l’adeguatezza delle misure di sicurezza adottate.

24. Le misure minime previste dall’Allegato B del Codice Privacy (Disciplinare tecnico in
materia di misure minime di sicurezza) non verranno quindi più ritenute sufficienti (pur
costituendo, se aggiornate, una buona base di partenza, in particolare per le PMI).
Sarà pertanto necessario:
tenere conto dei rischi di
distruzione, perdita, modifica, divulgazione non autorizzata o accesso accidentale
o illegale a dati personali trasmessi, conservati o comunque trattati per valutare
l’adeguato livello di sicurezza;
adottare un codice di condotta (disciplinato all’art. 40 GDPR) che potrà essere
utilizzato come elemento per dimostrare la conformità ai requisiti delle misure di
sicurezza.
effettuare, per i trattamenti che prevedono rischi specifici, una valutazione
dell’impatto privacy all’interno dell’azienda (la cd. DPIAs, art. 35 GDRP) prima di
procedere al trattamento dei dati più delicati.

25. LAVALUTAZIONE DI IMPATTO (ART 35 GDPR)
La valutazione di impatto sulla protezione dei dati è un documento (da conservare, monitorare
ed eventualmente revisionare, secondo precise modalità definite dal Titolare del trattamento)
che attesta precauzioni di alto livello a fronte dei rischi prospettabili rispetto ad un determinato
trattamento di dati che possa comportare un probabile rischio per i diritti degli Interessati.
Con il GDPR, in specifici casi, diventa obbligatorio svolgere tale adempimento.
Cosa contiene in concreto una DPIAs?
La descrizione del trattamento e delle• finalità perseguite;
la valutazione delle• necessità e della proporzionalità del trattamento;
la valutazione dei rischi per i diritti e le• libertà degli interessati;
25

26. 26
• l’indicazione delle misure previste per risolvere tali rischi e dunque conformarsi al
nuovo Regolamento, tra cui:
ridurre al minimo i dati raccolti e consentire▪ ai soggetti Interessati l’esercizio dei
diritti;
eseguire▪ il back up dei dati, tracciare ogni tipo di attività;
gestire prontamente la violazione dei dati;▪
controllare l▪ ’accesso ai dati e la gestione in mano a terzi;
ridurre le vulnerabilità di hardware, software, reti e documenti▪ cartacei.

27. 27
Quando effettuare una DPIAs?
Quando il trattamento concretamente può rappresentare un probabile grado di rischio
per i diritti e le libertà delle persone fisiche.
L’art 35, par. 3, GDPR fornisce alcuni esempi di casi nei quali un trattamento possa
presentare rischi elevati:
• l’uso di nuove tecnologie (es. Internet of Things) che offrono una valutazione sistematica
e globale di aspetti personali relativi a persone fisiche, fondata su un trattamento
automatizzato, compresa la profilazione, in base alla quale vengano prese decisioni che
hanno risvolti giuridici o che impattano significativamente su diversi aspetti di dette
persone fisiche (situazione economica, salute, preferenze/interessi personali,
localizzazione dell’interessato).

28. 28
• trattamenti, su larga scala* di dati personali particolari (sensibili) e/o giudiziari
(relativi a condanne penali e a reati), o ancora dati di persone con maggiore
necessità di protezione (p.e. trattamento svolto nei riguardi di minori, lavoratori e
altri soggetti vulnerabili (pazienti con malattie mentali))
• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
* l’A29WP fornisce una serie di elementi che andrebbero considerati per poter ricavare la nozione di “larga scala” quali: il
numero di persone coinvolte, il volume di dati trattati, la permanenza dei dati trattati, l’estensione geografica del
trattamento.

29. IN QUALI AMBITI L’AZIENDA DOVRÀ PRESTARE
PARTICOLARE ATTENZIONE?
• Trattamento dati (particolari e giudiziari) dei clienti, fornitori, agenti, dipendenti, collaboratori
• videosorveglianza
• acquisto/cessione di dati da banche da parte di Terzi
• dotazione di software o strumenti che misurano la produttività
• geolocalizzazione degli strumenti affidati a collaboratori / dipendenti (Pc, Smartphone, veicoli
aziendali)
• sistemi di identificazione dei soggetti biometrici
• profilazione intensa
• trattamento di un numero di dati su larga scala
• E-commerce, sito internet, APP
• Utilizzo pagina Facebook, Linkedin,Twitter
• Valutazione dei precedenti casi di data breaches (perdita di dati – phishing – attacco informatico)
29

30. PERCHE’ ADEGUARSI AL NUOVO GDPR ?
Privacy non solo come adempimento previsto dalla Legge ma
anche (e soprattutto) un vantaggio per l’impresa
Ottemperare alla nuova normativa significa per l’Azienda:
• Poter svolgere anche trattamenti “complessi” dei dati personali senza avere il timore di
dover incorrere in sanzioni amministrative (es. marketing diretto o profilazione);
• Garantire una reputazione aziendale all’esterno, in un’epoca di economie digitali, dove
diventa fondamentale la c.d.“web reputation”
30

31. 31
Prevenire• sanzioni amministrative in caso di illecito trattamento dei dati mediante
l’investimento di un costo (decisamente inferiore) di consulenza e adeguamento
alla nuova privacy
Dimostrare• di possedere procedure organizzative interne tali da rispettare le
misure di sicurezza imposte dalla nuova normativa sul trattamento dei dati
attraverso un personale debitamente formato e sensibilizzato in tema di GDPR.
Perché diventa fondamentale, per un’azienda,
garantire la “TRASPARENZA” del trattamento dei dati:
nei▪ confronti del mercato
nei▪ confronti dei propri clienti/fornitori
nei confronti dei▪ propri dipendenti/collaboratori

32. 32
Grazie per l’attenzione
Volentieri a disposizione!
Avv. Eleonora Mataloni
cell. 335.8068206
e-mail: eleonora.mataloni@virgilio.it