Privacy and Legal Advice: Il corretto percorso per l'adeguamento Privacy



Dal 25 maggio 2018, ossia dall’attuazione del Reg. UE 679/2016, G.D.P.R. (General Data Protection Regulation) contenente l’insieme di norme volte a disciplinare il trattamento e la circolazione dei dati personali relativi alle persone fisiche e a quelle giuridiche, ovvero cittadini e organizzazioni, diverse novità sono state introdotte nella politica di gestione privacy: nuovi contenuti per le informative, manifestazioni di consenso, valutazione di impatto privacy, concetti di privacy by Design e privacy by Default, data breach e sicurezza, registro dei trattamenti, videosorveglianza, etc…


In questo contesto la Privacy and Legal Advice 2018 S.r.l. ha elaborato un sistema di procedure per assistere e fornire al proprio cliente, durante le diverse fasi lavorative, gli strumenti per il corretto adeguamento alla normativa europea.


Tra le principali fasi di approccio alla normativa riveste notevole importanza l’Audit preliminare dell’attività delle procedure operative adottate dall’impresa. Esso verrà svolto mediante intervista del titolare e dei diversi responsabili dei vari settori aziendali al fine di mettere in evidenza, in questa prima fase, le conformità e le eventuali non conformità presenti all’interno del sistema azienda per poter intervenire in senso mirato e tempestivo.


Un aspetto di vitale importanza per la riduzione del rischio è un’attenta e accurata formazione del personale in termini di prevenzione in materia di sicurezza in generale e del trattamento dei dati personali.


Infatti, i sistemi di protezione, per quanto possano essere sofisticati, rischiano di avere scarsa efficacia se il personale non è adeguatamente informato ed aggiornato tramite una formazione continua. Per ottimizzare il tempo dedicato alla formazione delle risorse umane, la Società si è dotata di strumenti e-learning e webinar che consentono ai diversi addetti di modulare la loro preparazione senza interrompere i processi produttivi.


Sono previsti dei questionari online di valutazione post formazione. Uno dei principi messi in evidenza dal Reg. UE 679/16 è quello dell’Accountability (“responsabilizzazione”).


La nuova normativa, infatti, pone con forza l’accento sulla “responsabilizzazione” dei titolari e dei responsabili, ossia, sull’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.


Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito e la responsabilità di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.


Pertanto, il titolare del trattamento deve essere in grado di dimostrare di avere adottato tutte le misure adeguate attraverso un processo complessivo di misure giuridiche, organizzative e tecniche per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.


A differenza del D.Lgs 196/2003, egli dovrà dimostrare in modo positivo e proattivo che il trattamento dei dati viene effettuato sulla base di procedure conformi al Regolamento Europeo secondo la sua diretta responsabilità. Trattasi di una vera e propria “inversione dell’onere della prova”, ex art. 2050 c.c., rimanendo a carico del titolare del trattamento dei dati il compito di dimostrare che le misure adottate sono quelle adeguate anche in relazione alle conoscenze acquisite in base al progresso tecnico. Da qui il concetto che “la privacy non è un prodotto ma un processo”.


A tale proposito un’importante novità introdotta dal Regolamento è l’adozione di codici di condotta e di certificazioni volontarie con lo scopo di dimostrare, da parte del Titolare e/o del Responsabile, la conformità per quanto riguarda il rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione dei migliori passi per attenuare il rischio. Questo dà la possibilità ai Titolari e/o Responsabili del trattamento di documentare il rispetto dei propri obblighi in ordine alla protezione dei dati personali.


A titolo esemplificativo e non esaustivo si indicano alcune attività svolte presso le aziende nostre clienti in fase di adeguamento alla normativa.


Audit specifica per la valutazione delle conformità ed eventuali non conformità in ambito:



  • Risorse umane;

  • Amministrazione e contabilità;

  • Gestione rapporti cliente e fornitori;

  • Sicurezza informatica (servizi di rete, prevenzione intrusioni, modalità backup, accessi remoti, ecc..).

  • Analisi dei rischi (Risk Assessment) e messa in evidenza delle contromisure da adottare;

  • Valutazione d’impatto privacy (PIA);

  • Redazione e/o integrazione di nuove procedure;

  • Revisione modulistica specifica da adottare per il rispetto della normativa nell’acquisizione di dati personali per gli incarichi affidati a collaboratori e a terzi fornitori (informativa in forma cartacea e online);

  • Verifica/modifica/integrazione contrattualistica clienti e fornitori;

  • Controllo sito web, modalità raccolta e trattamento dati;

  • Redazione di Policy interne per l’utilizzo degli strumenti informatici;

  • Predisposizione registri del trattamento dei dati per il responsabile e per il titolare;

  • Informazione e formazione del personale in base all’organigramma aziendale sulle nuove procedure privacy (in sede ed e-learning);

  • Nomine del titolare e del/dei responsabile/i;

  • Supporto in qualità di referente privacy ai Responsabili della Privacy (RdP) interni all’azienda;

  • Consulenza in fase progettazione e nella tutela della protezione del dato (privacy by design, privacy by default);

  • Consulenza in materia di profilazione;

  • Consulenza in materia di pseudonimizzazione;

  • Consulenza in materia di privacy;

  • Supporto nella notifica di eventuali violazioni dei dati personali all’Autorità Garante e agli interessati.

  • Per quanto riguarda l’impianto di videosorveglianza interna alle strutture aziendali, le attività riguardano i seguenti servizi:

  • Studio impatto privacy;

  • Indicazione per una cartellonistica corretta;

  • Informativa breve e completa;

  • Trattamento delle immagini e nomine responsabile e incaricati;

  • Redazione e presentazione dell’istanza preventiva presso la DTL, Direzione Territoriale del Lavoro (art. 4 Statuto dei Lavoratori) o accordi con organizzazioni sindacali;

  • Procedure per la visione delle immagini e utilizzo in ambito civile e penale;

  • Formazione incaricati.



Servizi di adeguamento privacy

Chi Siamo

Contattaci per richiedere una Consulenza Gratuita

Contattaci