Privacy

Premessa

Tutte le aziende sono normalmente tenute ad attività di tipo amministrativo, commerciale e legale. Tali attività devono necessariamente adeguarsi al rispetto delle norme che riguardano la protezione dei dati personali trattati (Codice Privacy ) ed il nuovo Regolamento (UE) 2016/679 in vigore da maggio 2018.

Rispettare il diritto alla riservatezza ed alla privacy vuol dire gestire nel rispetto delle norme  ogni informazione relativa ai propri clienti, al proprio personale dipendente, ai fornitori ed a qualunque altro soggetto con cui si hanno rapporti di tipo amministrativo e/o commerciale.

Chi è tenuto al rispetto delle norme contenute nel codice Privacy e nel Regolamento 2016/679?

Aziende, enti, associazioni, professionisti e più in generale tutti i soggetti che realizzano un trattamento di dati.

Come si adempie?

La normativa sulla protezione dei dati personali comporta una serie di interventi di tipo organizzativo e strutturale. Questi interventi riguarderanno il sistema organizzativo, quello informativo e quello informatico dei soggetti interessati (profit e non profit).

Analisi preliminare

E’ necessario innanzitutto un’analisi del contesto aziendale al fine di definire:

  • La tipologia di dati trattati
  • Le procedure con cui i dati vengono trattati
  • L’identificazione delle apparecchiature e dei luoghi in cui i dati sono custoditi
  • Le modalità di conservazione dei dati e gli strumenti di recupero
  • La presenza di soggetti esterni che possono venire in contatto con i dati
  • Il grado di conoscenza della materia e dei relativi rischi da parte del personale

Definizione delle misure di protezione dei dati

E’ necessario:

  • raccogliere ed elaborare i dati relativi alle specifiche esigenze dell’assistito;
  • definire una policy interna sulla sicurezza dei dati personali ai sensi del Codice della Privacy e del nuovo Regolamento Ue 2016/679.

Documentazione da produrre relativa agli adempimenti previsti in materia di Privacy

A seconda del tipo di attività svolta e della natura dei dati trattati, è necessario predisporre i modelli per l’informativa ed il consenso, e l’ulteriore modulistica necessaria a facilitare gli adempimenti previsti:

  • Registro dei trattamenti realizzati;
  • Eventuale nomina di contitolarità;
  • Nomina del responsabile del trattamento;
  • Nomina delle persone autorizzate al trattamento;
  • Nomina del responsabile del trattamento esterno;
  • Eventuale Comunicazione DPO al Garante;
  • Valutazione rischi DPIA;
  • Nomina dell’amministratore del sistema;
  • Istruzioni operative in caso di Data Breach;
  • Informative a clienti, dipendenti e fornitori;
  • Policy aziendale relativa all’utilizzo di sistemi di videosorveglianza o di controllo a distanza;

Il DPO – Data Protection Officer

Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16.

Il DPO è un professionista (sia esso soggetto interno o esterno alla azienda) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Chi è tenuto a nominare il DPO? 

Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sularga scala;
  3. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Che ruolo svolge il DPO? 

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Formazione del Personale

Tutti gli incaricati del trattamento dovranno ricevere adeguata formazione in merito alle corrette procedure da seguire. Lo scopo primario è quello di fornire tutte quelle istruzioni utili a garantire che i dati vengano trattati unicamente per le finalità previste, che non si compiano abusi e che siano protetti da eventuali furti e/o perdite. La Serinta offre percorsi di formazione personalizzati fruibili anche in modalità E-Learning.

Moduli formativi:
– rischi che incombono sui dati
– principi della disciplina sulla protezione dei dati personali
– responsabilità di natura civile, amministrativa e penale in merito al trattamento
– misure disponibili per prevenire eventi dannosi
– modalità di adeguamento alle misure minime da adottare nel trattamento.

I servizi offerti da SERINTA
  • Analisi preliminare delle procedure aziendali
  • Assistenza alla definizione della policy interna relativa alla protezione dei dati
  • Definizione delle misure minime di sicurezza
  • Informative, incarichi e nomine dei responsabili
  • Stesura Registro del trattamento
  • Assunzione ruolo diretto incarico DPO
  • Formazione del personale
  • Adeguamento dei sistemi informativi al principio di necessità
  • Corsi per incaricato al trattamento dei dati personali
  • Corsi per responsabile al trattamento dei dati personali
  • Corsi per DPO