Bando per DPO – scadenza 17/12/2022

Ente pubblico di rilevanza regionale con sede in centro Italia, che opera nell’ambito dei servizi, ha pubblicato il bando per affidare l’incarico di DPO a un professionista iscritto all’albo degli Avvocati o dei Commercialisti da almeno 5 anni, con comprovata formazione in ambito privacy.
L’importo previsto dell’incarico triennale è 30.000 euro.
Scadenza bando: 17/12/2022

Maggiori informazioni dal seguente link

Pubblicato il Modello TIA – transfer impact assessment – valutazione impatto trasferimento dati

Privacy – Pubblicato il Modello TIA – transfer impact assessment – valutazione impatto trasferimento dati

Formato MS Word – 14 pagine. – contenuti da compilare con i dati specifici del trasferimento dati
Risultati che ottieni con questo prodotto
_ risparmi tempo nel realizzare il documento di valutazione impatto trasferimento dati
_ eviti errori nella compilazione
_ puoi utilizzarlo per un numero illimitato di trasferimenti
_ immediato download dopo il pagamento

Scarica estratto modello_TIA

Che cos’è una valutazione dell’impatto del trasferimento (TIA)?

Una valutazione dell’impatto del trasferimento (TIA) è un tipo di valutazione del rischio che consente a organizzazioni come l’EDD (cioè “esportatore di dati”) di determinare se le SCC o altri meccanismi ai sensi dell’articolo 46 del GDPR, che si intendono utilizzare per trasferire dati personali all’esterno al SEE, forniscono un livello di protezione adeguato nelle circostanze specifiche di tale trasferimento.

Il TIA deve valutare se le leggi e le pratiche nel paese al di fuori del SEE (cioè il paese terzo) in cui i dati personali vengono trasferiti o da cui si accede, forniscano una protezione “sostanzialmente equivalente” e non influiscano sull’efficacia delle SCC o di altri meccanismo di cui all’articolo 46 del GDPR utilizzato per facilitare il trasferimento dei dati.

Se l’esito del TIA è che le leggi e le pratiche del paese terzo incidono sull’efficacia del meccanismo dell’articolo 46 del GDPR, allora l’EDD (cioè l’”esportatore di dati) deve identificare e adottare misure supplementari per portare il livello di protezione per il trasferito i dati personali fino al livello di protezione dell’UE.

Pubblicato il mini corso Come realizzare la TIA – valutazione impatto trasferimento dati + software

Fast corso online – Come realizzare la TIA – valutazione impatto trasferimento dati + software

Il corso on line per farti apprendere rapidamente le modalità di realizzazione della valutazione rischi impatto trasferimento dati.

Il corso on line della durata di c.a.2 ore ti fornisce inoltre l’applicativo in Excel per realizzare la TIA ( transfer impact assessment ), utilizzato per la simulazione, e il modello di TIA in formato MS Word, strumenti operativi da utilizzare subito.

Sommario del corso online:
1) Che cosa è la TIA
2) Quando è necessario effettuare la TIA
3) Come condurre una TIA
4) Chi deve effettuare la TIA
5) Gestire i trattamenti successi
3) Un esempio pratico di trasferimento dati negli Stati Uniti

Accedi alla video presentazione

Domande e risposte su Google Analytics – GDPR

Nel corso del 2022 sono state emesse diverse decisioni in Austria, Francia e Italia in casi riguardanti l’utilizzo di Google Analytics.

I casi sono stati spinti da denunce presentate dall’organizzazione None of Your Business (“NOYB”) a una serie di autorità di vigilanza europee a seguito della sentenza della Corte di giustizia dell’Unione europea nella cosiddetta causa Schrems II . I reclami riguardavano l’uso dello strumento Google Analytics, che, secondo NOYB, comporta il trasferimento di dati personali dei visitatori del sito Web a Google negli Stati Uniti in violazione della legge sulla protezione dei dati.

Google Analytics è uno strumento che consente ai proprietari di siti Web di compilare statistiche sui visitatori del sito Web, tra le altre cose, al fine di ottimizzare il contenuto del sito Web. Ciò avviene assegnando al visitatore un identificatore univoco al fine di generare statistiche sulle visite al sito Web, sulle visualizzazioni di pagina, ecc. Oltre all’identificatore individuale, vengono raccolti ulteriori dati sull’interazione del visitatore con il sito Web, sull’ora approssimativa della visita, nonché dati sul browser del visitatore, sistema operativo, ecc.

Le organizzazioni europee che desiderano utilizzare Google Analytics stipulano un accordo con Google Ireland Ltd a tal fine. Nell’ambito di questo quadro contrattuale, Google si offre di stipulare le cosiddette clausole contrattuali standard che forniscono agli interessati una serie di garanzie e diritti in relazione al trasferimento di dati personali a Google LLC negli Stati Uniti.

Tuttavia, questo contratto non può sempre garantire di per sé un livello di protezione sostanzialmente equivalente a quello dell’UE/SEE. Ciò è particolarmente vero nei casi in cui le autorità di contrasto del paese terzo possono accedere ai dati personali trasferiti in misura sproporzionata e in violazione delle leggi europee fondamentali.

In particolare, la questione centrale nelle cause è che i dati personali trasferiti negli Stati Uniti non sono – in alcuni casi – garantiti un livello di protezione sostanzialmente equivalente a quello all’interno dell’UE/SEE. Questo perché alcune leggi statunitensi – il Foreign Intelligence Surveillance Act (FISA) sezione 702 e l’Executive Order 12 333, letto insieme alla Presidential Policy Directive-28 – non soddisfano i requisiti di proporzionalità del diritto dell’UE in caso di interferenza con diritti, né gli interessati (europei) hanno diritto a un ricorso effettivo. Lo ha affermato la Corte di giustizia dell’Unione europea nella citata causa Schrems II. Per il trasferimento di dati personali a organizzazioni negli Stati Uniti nell’ambito della suddetta normativa, è pertanto necessario attuare misure supplementari al fine di portare il livello generale di protezione dei dati a un livello sostanzialmente equivalente a quello dell’UE/SEE. Tali misure possono essere di natura tecnica, contrattuale e organizzativa.

Nei casi, Google ha indicato che l’azienda aveva implementato ulteriori misure contrattuali, organizzative e tecniche. Tuttavia, le autorità di controllo hanno ritenuto che tali misure non potessero garantire un livello efficace di protezione dei dati trasferiti poiché le misure non erano idonee a impedire l’accesso ai dati personali trasferiti da parte delle forze dell’ordine statunitensi.

Di conseguenza, il trasferimento di dati personali negli Stati Uniti tramite Google Analytics è stato considerato illecito.

Domande e risposte su Google Analytics  – 

Le risposte ai quesiti sono disponibili nell’area abbonatiPer abbonarti a www.clubdpo.com clicca qui

È possibile configurare lo strumento Google Analytics in modo tale che i dati personali non vengano trasferiti negli Stati Uniti?

È possibile configurare lo strumento Google Analytics in modo tale che non vengano raccolti dati personali?

Credo di aver configurato Google Analytics in modo tale che non vengano raccolti dati personali. Vi è un divieto se continuo a utilizzare Google Analytics?

È possibile utilizzare Google Analytics in base al consenso dei visitatori?

Pubblicato il nuovo software DPO SUITE ….. massima libertà …

Abbiamo pubblicato DPO SUITE la raccolta software per gestire ancora meglio e senza vincoli, l’attività del Data Protection Office.
Vantaggi:
_ numero illimitato di aziende gestibili
_ archivi aperti e personalizzabili
_ nessun canone annuale obbligatorio
_ massima sicurezza perchè i software sono installati in locale pur consentendo l’utilizzo condiviso

Accedi alle video demo e ai dettagli dei contenuti dal seguente link

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

GPDPDigest – Il racconto in sintesi delle attività del Garante – Febbraio

GPDPDigest – Il racconto in sintesi delle attività del Garante – Febbraio

Kit audit privacy

Kit Audit Privacy GDPR è lo strumento per aziende e consulenti, per realizzare in maniera completa e corretta gli audit periodici sull’efficacia ed efficienza dell’applicazione del Reg. UE 2016/679.
**********

GPDPDigest – Il racconto in sintesi delle attività del Garante – Febbraio 2022.pdf [203 k, pdf]

Come conservare le email aziendale senza incorrere in sanzioni privacy

Pubblicato su http://www.alertprivacy.it e http://www.clubdpo.com l’articolo: Come conservare le email aziendali senza incorrere in sanzioni privacy

In questo articolo apprenderai come gestire la conservazione delle email aziendali rispettando i precetti privacy/GDPR.

La gestione delle email aziendali costituisce una problematica importante, ai fini privacy. In particolare la loro conservazione deve avvenire seguendo specifiche indicazioni per evitare eventuali sanzioni privacy.

Continua da http://www.alertprivacy.it

Green Pass: Ok del Garante Privacy alle nuove modalità per revoca e uso Super Green Pass

https://edirama.org/prodotto/corso-aggiornamento-dpo-data-protection-officer/

Il Garante per la protezione dei dati personali ha espresso, in via d’urgenza, parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che aggiorna le disposizioni relative alle Certificazioni verdi e agli obblighi vaccinali per alcune categorie di lavoratori.

Nel provvedimento, l’Autorità ha evidenziato come, allo stato attuale della situazione epidemiologica, il complesso delle misure, adottate anche a seguito delle interlocuzioni con il Ministero della salute, siano conformi al principio di liceità e, più in generale, alla disciplina sulla protezione dei dati personali.

In particolare, lo schema di decreto, accogliendo l’invito più volte espresso dall’Autorità, dà piena attuazione alla revoca delle certificazioni verdi, in caso di contagio sopravvenuto, tramite una procedura che prevede anche che l’interessato venga informato, utilizzando i dati di contatto dallo stesso forniti. A questo tipo di procedura se ne aggiunge una specifica relativa ai “green pass” rilasciati o ottenuti in maniera fraudolenta.

Nello schema viene previsto inoltre che i soggetti tenuti alla verifica del possesso delle certificazioni verdi vengano specificamente istruiti sulla possibilità di utilizzare la modalità “rafforzata” solo ed esclusivamente nei casi in cui lo richieda la legislazione vigente.

Nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del QR code della copia in suo possesso attraverso l’app VerificaC19 o mediante le previste modalità automatizzate.

È stata inoltre disciplinata l’annotazione sugli albi professionali “senza ulteriori specificazioni dalle quali sia possibile desumere il mancato rispetto dell’obbligo vaccinale da parte dell’esercente la professione sanitaria”, prevedendo soltanto l’indicazione della circostanza che il professionista è sospeso.

Dopo i casi registrati di diffusione online di numerose certificazioni verdi, come ulteriore misura di garanzia è stata prevista, all’atto del rilascio del green pass da parte degli operatori sanitari, la registrazione di informazioni aggiuntive: identificativo dell’operazione; codice fiscale o identificativo del soggetto che ha eseguito l’operazione;  modalità di autenticazione dell’operatore sanitario; codice fiscale o i dati anagrafici dell’interessato; l’identificativo univoco del certificato (UVCI) della certificazione; data e ora dell’operazione.

Il Garante della Privacy ha comunque chiesto al Ministero della salute alcune integrazioni per rendere evidente all’interessato la modalità di verifica utilizzata dal verificatore, introducendo, all’interno dell’app VerificaC19, elementi testuali, grafici e visivi per le due modalità di verifica (“base” o “rafforzata”).

In conseguenza degli specifici rischi connessi ai trattamenti di dati personali in esame e avendo particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo, l’Autorità ha chiesto al Ministero della salute di aggiornare la valutazione di impatto sulla protezione dei dati.