Oneprotection è costituita al fine di coniugare la protezione dei dati personali con le esigenze della impresa, il cui successo dipende in larga parte dall’uso dei dati stessi.
La intuizione, alla stregua della quale gli standard di mercato già contengono i principi del trattamento dei dati e indicano di conseguenza le “misure tecniche e organizzative adeguate” per la loro sicurezza in relazione al rischio, è corroborata dall’esame della disciplina dettata dal GDPR e, in particolare, dai seguenti articoli:
Il terreno elettivo quindi per la ordinata cura di entrambi gli interessi, solo apparentemente opposti, va individuato nella corretta applicazione delle norme tecniche sviluppate per i processi produttivi in campo industriale.
Infatti la caratteristica di non obbligatorietà delle norme in parola si addice bene alla nuova responsabilità (accountability) delineata dal Regolamento (UE) n. 2016/679 per il titolare e il responsabile del trattamento.
Essi diventano autori del proprio sistema privacy e, dovendo dimostrare la correttezza delle scelte al riguardo fatte, possono invocare la autorità degli istituti di normazione di cui ripetono le norme per la gestione del rischio.
Norme che venivano elaborate attraverso il consenso degli interessati (cd. soft law) ma, una volta prese a riferimento dall’ordinamento giuridico europeo, sono diventate più vincolanti di una qualsiasi norma proprietaria.
Possiamo concludere scrivendo che il diritto alla protezione dei dati non è un diritto assoluto, ma deve essere contemperato con altri diritti (l’art. 8 della Carta dei diritti fondamentali della Unione europea, UE 2000, recita infatti che “va considerato alla luce della sua funzione sociale”).
Anche nel sistema giuridico della Convenzione europea dei diritti dell’uomo (Consiglio d’Europa, 1950-1953), il diritto al rispetto della vita privata e familiare deve essere esercitato rispettando, a sua volta, l’ambito di efficacia di altri diritti concorrenti (art. 8, para. 2).
Tale contemperamento e bilanciamento dei diritti è stato ripetutamente affermato dalla giurisprudenza europea, sia dalla Corte EDU che dalla CGUE.
Il diritto di iniziativa economica privata (art. 41 Cost. it.), in particolare, va bilanciato con il diritto alla riservatezza.
Anzi è possibile affermare che il moderno diritto di impresa è orientato naturalmente alla osservanza del GDPR.
📷
È questo il motivo per cui gli standard ISO sono utili alla comprensione e alla osservanza del GDPR.
Nel momento in cui infatti organizzo la mia impresa, assicuro la protezione dei dati personali mediante i quali faccio una «impresa di qualità».
La privacy diventa il mezzo per raggiungere gli obiettivi di impresa e da ‘costo’ si trasforma in una ‘risorsa’ (vedi Rasi Gaetano (a cura di), Da costo a risorsa. La tutela dei dati personali nelle attività produttive, Roma – IPZS 2004).
Contrapporre invece, come ancora troppo spesso si sente dire, impresa e privacy significa perdere una opportunità di sviluppo del proprio business.
E il trait d’union fra i due ambiti è dato dal concetto di rischio e dal lavoro svolto non per eliminarlo, ma per ridurlo.
…
Ciò premesso, la società Oneprotection si avvale di professionisti esperti in direzione e management delle aziende pubbliche e private, persone che hanno maturato un alto livello di conoscenza specialistica che abbraccia le competenze tecnico-informatiche, comunicative, manageriali e giuridiche oggi necessarie per il governo delle realtà complesse come le imprese e il mondo delle professioni.
📷
Cosa facciamo
Oneprotection assicura il suo sforzo per offrire i migliori servizi di consulenza e/o supporto all’imprenditore e al professionista ma distingue le prestazioni da rendere in funzione del tipo e delle dimensioni del soggetto beneficiario della convenzione.
Opera allora in modo uguale a come si realizza un abito su misura.
📷
Le prestazioni aggiuntive rispetto alla consulenza base sono comunque, pur se eventuali per alcuni clienti, molto utili e raccomandate dalla Autorità di controllo per favorire la logica del sistema normativo privacy, la creazione cioè di una comunità di operatori economici tutti, piccoli e grandi, competenti in materia di protezione dei dati.
Il servizio stipulato è inoltre a tempo indeterminato nella consapevolezza di entrambe le parti della convenzione che non basta, in una ottica di miglioramento continuo, raggiungere la conformità legale (compliance) al GDPR se poi non si è in grado di mantenerla nel tempo.
L’obiettivo genera infatti una tensione verso il risultato atteso ma non prevede, se non rebus stantibus, la sua definitiva acquisizione.
Descrizione del servizio
Il metodo di lavoro è quello suggerito da W.E. Deming.
📷
Vedremo poi cosa, nella versione in italiano, il superiore schema significhi.
Il servizio si articola su tre livelli che non si sovrappongono ma, in prospettiva di crescita, si compenetrano.
I primi due possono essere acquistati, a seconda dei bisogni, anche solo parzialmente.
1 Consulenza base
Gap analysis
Analisi puntuale e dettagliata della reale posizione del cliente alla luce della legge sulla protezione delle persone fisiche, sul trattamento dei dati personali e sulla loro libera circolazione
Analisi del rischio
Analisi del rischio e selezione delle misure e procedure per il corretto trattamento dei dati personali con la speciale attenzione alla responsabilità del titolare del trattamento
Modelli di documenti interni
Verifica e aggiornamento dei modelli degli atti di nomina del personale interno
Modelli di documenti pubblici
Redazione dei modelli dei contratti e degli atti di individuazione dei responsabili e incaricati esterni
Informativa privacy
Revisione dei modelli delle informative sul trattamento dei dati personali
Definizione delle clausole contrattuali
Definizione in astratto delle clausole da apporre nei rapporti contrattuali per le pratiche in outsourcing
Modello del registro dei trattamenti
Creazione, ove occorra, del modello del registro dei trattamenti
…
2 Pacchetto avanzato (oltre alla Consulenza base)
Predisposizione del documento di rischio
Predisposizione del documento di rischio, verifica della sussistenza di servizi in contitolarità, ricerca implementazione e verifica delle misure di sicurezza, valutazione in merito agli aspetti della privacy by design (la architettura aziendale della protezione dei dati personali) e della privacy by default (la risposta predefinita per la loro sicurezza)
DPIA (Valutazione di impatto)
Analisi delle fattispecie oggetto di valutazione di impatto privacy
Attività di formazione sul GDPR
Formazione del personale sul GDPR tramite esperti della materia
Assistenza su esecuzione delle azioni individuate
Assistenza e consulenza telefonica da parte di personale specializzato
Redazione di un codice di condotta
Redazione di policy per il trattamento dei dati
Pareri scritti
Risposta a quesiti specifici e rilascio di pareri, anche per iscritto e pro veritate, di avvocati competenti
Fornitura software privacy
Fornitura del software privacy con rete cloud computing per la gestione integrata degli adempimenti e guida all’uso
Sito web
Studio e indicazioni per la conformità del sito web al GDPR
Videosorveglianza
Telecamere di sorveglianza, studio e informazioni per la conformità al GDPR
Assistenza informatica
Assistenza informatica ad hoc mediante personale specializzato
Visite in azienda
Internal auditing
…
3 Nomina del RPD (Responsabile della protezione dei dati)
Informazione e consulenza al titolare del trattamento e al responsabile del trattamento, nonché ai loro dipendenti, in merito agli obblighi in materia di privacy
Sorveglianza sulla osservanza del GDPR, delle altre disposizioni dell’Unione o degli Stati membri e delle politiche del titolare e del responsabile in materia di privacy, ivi compresa la attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale
Se richiesto, fornitura di un parere in merito alla valutazione di impatto privacy e sorveglianza dello svolgimento
Cooperazione con l’Autorità di controllo
Funzione di punto di contatto per l’Autorità di controllo e per gli interessati
…
A tutti i livelli descritti Oneprotection valuta il rischio, propone un modello di mitigazione del rischio e misura il rischio residuo.
📷
Agisce, come anticipato, secondo il metodo di Deming e dunque pianifica la azione e la traduce in pratica, la sorveglia e, a seconda del risultato, la conferma o corregge (lezioni apprese).
Si tenga presente che la pianificazione, e così i successivi passaggi, riguarda solo una parte dell’intero problema: si vuol dire che la soluzione del problema prevede, fin dall’inizio, una definizione graduale e una continua approssimazione alla situazione ideale.
Il desiderio di immediata realizzazione di un compiuto sistema privacy è, in quanto irrealistico, destinato al fallimento.
È infatti mostruoso e innaturale tutto ciò che, per affermarsi, non cresce.
📷
Oneprotection propone, per gestire la privacy, un sistema di gestione della sicurezza delle informazioni (SGSI) in accordo con gli standard di sicurezza della famiglia serie 27000.
Si propone altresì di evidenziare, nel contesto di impresa, la leadership e l’impegno; i ruoli, la responsabilità e la autorità di ciascuno nella organizzazione data per affrontare i rischi e, in mezzo a essi, cogliere le opportunità.
Il rischio verrà quindi (A) rilevato.
Verrà (B) valutato.
E infine (C) trattato.
Il tutto in base ad una struttura che è riassumibile nel modo seguente:
E per ottenere quanto segue:
…
Offerta economica
Condizioni di pagamento (vedi la convenzione)
