Archive for the ‘Privacy’ Category

Regolamento Privacy: come adeguarsi alla normativa europea

Regolamento Privacy: come adeguarsi?

A quasi sei mesi dall’entrata in vigore del Regolamento UE 2016/679 sul trattamento dei dati personali, meglio conosciuto come GDPR,  molte aziende si trovano ancora indietro in materia di privacy.

Come fare dunque per per mettersi in regola e non incombere nelle pesanti sanzioni previste dal Regolamento?
Prima di tutto, ogni azienda dovrebbe fare una valutazione sui tipi di dati di cui è titolare, sui trattamenti che effettua senza dimenticare che ci sono dei principi stabiliti per garantire e rispettare i diritti delle persone, chiamati interessati, di cui si possiedono i dati personali.

In seguito, ogni titolare dovrebbe analizzare i propri archivi, ponendosi delle semplici domande: dove vengono conservati i dati? l’archivio, cartaceo o informatico, è sicuro o potrebbe essere soggetto a violazioni?
Si valuta così il rischio di eventuali problematiche nella gestione dei dati e si deve provvedere ad adottare le misure tecniche e organizzative idonee per garantire il livello di sicurezza adeguato.

Il Regolamento poi obbliga le aziende ad altri adempimenti, quali il registro dei trattamenti, la valutazione di impatto, la designazione del Responsabile della protezione dei dati, in casi specifici relativi ai tipi di dati che vengono trattati.

Da non dimenticare l’elaborazione di incarichi a coloro che effettuano il trattamento per conto del titolare e, non da ultimo, l’obbligo di informare gli interessati sulle finalità e le modalità del trattamento, sui tempi di conservazione dei dati, sulla comunicazione a terzi specificando le generalità del titolare del dato e di eventuali responsabili.


Il Garante ha elaborato una sintesi degli adempimenti per le aziende, disponibile qui.

La Ser.int.A srl mette a disposizione delle aziende le proprie professionalità e competenze per ottemperare agli obblighi previsti dal Regolamento.

Per informazioni cliccare qui

Privacy: dal 19.09.2018 entrerà in vigore il nuovo decreto

Protezione dati personali: pubblicato in  Gazzetta Ufficiale il decreto di recepimento del regolamento 679/2016 sulla protezione dei dati personali.

E’ stato pubblicato sulla Gazzetta Ufficiale  il decreto italiano relativo alla PRIVACY.

Il decreto privacy è stato pubblicato nella G.U. n. 205 del 04-09-2018 entrerà il vigore il 19 settebre 2018.

Il DECRETO LEGISLATIVO 10 agosto 2018, n. 101 contiene le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).”

Il decreto PRIVACY, entrerà in vigore il 19.09.2018.

 

Vai al documento

 

 

Privacy: formazione obbligatoria per Imprese e Pubbliche Amministrazioni

Privacy: indicazioni per la formazione obbligatoria

Il General Data Protection Regulation in materia di privacy sancisce l’obbligo di formazione dei dipendenti e collaboratori sul tema protezione dati personali.
L’obbligo riguarda tutti i lavoratori e collaboratori di Imprese e Pubbliche Amministrazioni che trattano dati personali di persone fisiche.
La formazione dovrà consentire alle persone autorizzate al trattamento dei dati di utilizzare correttamente i dati personali per evitare la divulgazione illecita o l’utilizzo erroneo degli stessi in relazione alle finalità consentite.

La mancata erogazione della formazione e la mancata gestione dei dati personali sono sanzionabili con una multa fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.
La formazione obbligatoria in materia di privacy potrà essere erogata in diverse modalità: in aula, e-learning (formazione a distanza), videoconferenza, on the job.

Mentre la gestione dei dati personali dovrà essere documentata attestando il corretto svolgimento di tutte le operazione che coinvolgono i dati di clienti/utenti/fornitori, dalla raccolta, alla lavorazione, fino all’archiviazione di un dato.

Per agevolare le imprese nella gestione privacy, la Serinta Srl ha realizzato dei pacchetti di adeguamento che permettono di conformare qualunque tipo di organizzazione ai nuovi requisiti privacy, di adempiere alla formazione obbligatoria in modo personalizzato e adatto alle esigenze aziendali.

Il pacchetto di adeguamento documentale privacy consentirà :
• la gestione di nomine e relative istruzioni operative
• la compilazione dei registri delle attività
• risk analysis ed eventuale valutazione di impatto (DPIA)
• realizzazione di informative e consensi automatici per dipendenti, clienti e fornitori.

Per avere informazioni su privacy e formazione contattare

Serinta srl – info@serinta.it – 0968.432291

 

 

Privacy: guida all’applicazione del regolamento

Dal Garante per la protezione dei dati personali arriva una guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali.

Si riporta di seguito quanto pubblicato dal sito del Garante Privacy  (clicca qui per la guida completa)

Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali

(La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo)

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.

Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d´ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.

La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo.

Indice

  •  Fondamenti di liceità del trattamento
  • Titolare, responsabile, incaricato del trattamento
  • Informativa
  • Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili

TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO

Cosa cambia?

Il regolamento:

  • disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all´esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
  • fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell´atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell´art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
  • consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest´ultimo risponde dinanzi al titolare dell´inadempimento dell´eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l´evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
  • prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare,  la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l´adozione di idoneemisure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO (si segnalano, al riguardo, le linee-guida in materia di responsabili della protezione dei dati adottate dal Gruppo “Articolo 29”, disponibili qui anche nella versione in italiano: www.garanteprivacy.it/regolamentoue/rpd), nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell´Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all´art. 27, paragrafo 3, del regolamento – diversamente da quanto prevedeva l´art. 5, comma 2, del Codice.

Cosa non cambia?

Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell´ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).

RACCOMANDAZIONI

I titolari di trattamento dovrebbero valutare attentamente l´esistenza di eventuali situazioni di contitolarità (si vedano, in proposito, le indicazioni fornite dal Garante in vari provvedimenti, fra cui http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785), essendo obbligati in tal caso a stipulare l´accordo interno di cui parla l´art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell´esercizio dei diritti previsti dal regolamento.

I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall´art. 28, paragrafo 3, del regolamento.

Dovranno essere apportate le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare a questo scopo.

Attraverso l´adesione a codici deontologici ovvero l´adesione a schemi di certificazione il responsabile può dimostrare le “garanzie sufficienti” di cui all´art. 28, paragrafi 1 e 4.

Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell´ottica dei requisiti fissati nel regolamento (art. 40), mentre per quanto concerne gli schemi di certificazione occorrerà attendere anche l´intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo “Articolo 29” sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.

Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l´adozione di misure atte a garantire proattivamente l´osservanza del regolamento nella sua interezza.

In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante (si veda art. 30 del Codice e, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1507921, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1508059 per quanto riguarda la pubblica amministrazione, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953  in materia di tracciamento delle attività bancarie) in quanto misure atte a garantire e dimostrare “che il trattamento è effettuato conformemente” al regolamento (si veda art. 24, paragrafo 1, del regolamento).

CLICCA QUI PER LA GUIDA COMPLETA Guida all applicazione del Regolamento UE 2016 679

Regolamento Privacy UE 2016/679 in vigore dal 25 maggio

Il Regolamento Privacy UE 2016/679, anche chiamato GDPR, si applicherà a partire dal 25 maggio 2018

Il nuovo Regolamento Privacy, obbligatorio in tutti i suoi elementi, sarà direttamente applicabile tra qualche settimana con le sue novità, in particolare in tema di diritti dell’interessato, responsabilità dei titolari e responsabili dei trattamenti, valutazione dei rischi, misure di sicurezza e sanzioni. Ma la grande novità del Regolamento Privacy è che si offre a tutti i cittadini degli Stati membri dell’Unione Europea lo stesso livello di diritti in termini di utilizzo dei propri dati personali. Il nuovo Regolamento Privacy si fonda sulla “responsabilizzazione” dell’azienda e dei titolari del trattamento, che saranno liberi di valutare come adeguarsi alla normativa ma dovranno obbligatoriamente dimostrarlo.

Vediamo le principali novità del nuovo Regolamento Privacy:

  • Principio di accountability: il titolare deve implementare misure tecniche e organizzative per rispettare il regolamento, dovendo essere in grado poi di dimostrare, documenti alla mano, di averle adottate. Secondo il Regolamento Privacy, dunque, chi tratta i dati deve considerare i rischi connessi al trattamento sin dalla progettazione (privacy by design) e le eventuali misure di sicurezza da adottare per tutelare i diritti e le libertà delle persone. Le stesse misure devono garantire e poter dimostrare in ogni momento che i dati personali trattati siano solo quelli strettamente necessari per la finalità del trattamento (privacy by default)
  • Informative e consenso: l’informativa deve essere concisa, trasparente, facilmente accessibile, con un linguaggio chiaro e semplice, data per iscritto o con altri mezzi elettronici. Finalità, interessi del titolare e/o responsabile, periodo di conservazione devono essere specificati. L’eventuale trasferimento dei dati a terzi deve essere esplicito. Il consenso deve essere libero, specifico rispetto alle finalità, informato e sempre revocabile.
  • Diritti degli interessati: oltre ai già validi diritto di accesso, di rettifica, di cancellazione, di opposizione (rafforzati nel regolamento Privacy), nascono il diritto alla limitazione al trattamento dei dati, diritto alla portabilità dei dati.
  • VIP – Valutazione di impatto privacy (o DPIA) tra i nuovi adempimenti del Regolamento Privacy troviamo la valutazione di impatto sulla protezione dei dati, obbligatoria da parte del titolare e/o dal responsabile quando il trattamento possa mettere in pericolo i diritti e le libertà dell’interessato. La valutazione dovrà determinare origine, valore, particolarità e gravità dei rischi, così da adottare misure opportune. Nel Regolamento Privacy sono inoltre elencati esempi di trattamento che comportano l’obbligo della valutazione.
  • La nomina del DPO: una nuova figura introdotta dal Regolamento Privacy è quella del DPO (data protection officer) o responsabile della protezione dei dati, un punto di riferimento per tutto ciò che riguarda il trattamento. È obbligatorio quando i trattamenti richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, quando vengono trattati prevalentemente dati sensibili (categorie particolari di dati personali) e quando il trattamento è effettuato da un’autorità o da un organismo pubblico. Questa figura avrà il compito di sorvegliare l’osservanza del Regolamento Privacy, valutando i rischi di ogni trattamento.
  • Registro dei trattamenti: il Regolamento Privacy ha previsto che il titolare e/o i responsabili del trattamento tengano un registro che attesti tutte le operazioni svolte sui dati posseduti. Il registro, elettronico o cartaceo, è obbligatorio solo per le imprese con più di 250 dipendenti, salvo che il trattamento non sia molto rischioso, riguardi dati sensibili o relativi a condanne penali. I contenuti minimi saranno i dati del titolare e dei responsabili, dell’eventuale DPO, i dati trattati, le finalità del trattamento, le categorie degli interessati e le misure di sicurezza intraprese. Data la completezza delle informazioni contenute nel registro, la sua elaborazione è consigliata a tutti i titolari, considerando che il documento sarà molto utile in caso di controllo da parte dell’autorità.
  • Misure di Sicurezza: devono essere adeguate per attenuare i rischi derivanti da una violazione dei dati. Il Regolamento Privacy suggerisce ed elenca al titolare delle misure che possono essere utilizzate, come la cifratura dei dati personali, la capacità di ripristinarne l’accesso in maniera tempestiva in caso di incidente fisico o tecnico, o una procedura per testare regolarmente le misure di sicurezza.
  • Data Breach: è una violazione dei dati che può provocare la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali. Con il nuovo Regolamento Privacy, in presenza di uno di questi eventi, il titolare del trattamento deve procedere alla notifica al Garante entro 72 ore, senza ingiustificato ritardo e, nel caso non si fossero adottate le misure di sicurezza adeguate, anche all’interessato.
  • Le sanzioni: un altro elemento centrale del nuovo Regolamento Privacy è rappresentato dalle sanzioni amministrative pecuniarie. Sono stati fissati e inaspriti i massimali, 10 milioni di euro (o il 2% del fatturato), e 20 milioni di euro (o il 4% del fatturato). Quanto un’azienda dovrà pagare in caso di violazione, dipenderà dal tipo, dalla natura, dell’entità della stessa relativamente agli obblighi del Regolamento Privacy. Competente in materia di sanzioni sarà l’Autorità Nazionale di Controllo (ANC).

Sulla pagina web del Garante per la Protezione dei dati personali è possibile trovare tutte le informazioni utili alla gestione dei nuovi adempimenti, le linee guida e le faq.