Archivio mensile:settembre 2016

Pubblicato il nuovo software DPO MANAGER

home

Edirama ha pubblicato il nuovo software DPO MANAGER
DPO MANAGER è il software che consente di gestire i trattamenti dati secondi i criteri richiesti dal Regolamento Europeo 2016/679.
DPO MANAGER permette di mappare ogni processo/trattamento dati in modo analitico, così da consentire al DPO (Data Protection Officer) una corretta gestione dei dati personali trattati.
Inoltre grazie al modulo Gestione Adempimenti Privacy è possibile gestire qualsiasi documento/adempimento e le relative scadenze in modo automatico e veloce.

Guarda il video demo e scarica la presentazione dal seguente link Guarda il video demo e scarica la presentazione dal seguente link

Privacy: Titolare e Responsabile un rapporto chiaro e stretto

Rispondi

Il Regolamento Europeo 679/2016 obbliga una modifica ai rapporti fra titolare e responsabile del trattamento rispetto alle disposizioni del DLgs 196/2003. Ecco alcune nuove peculiarità. Di Paola Limatola e Sebastiano Plutino.

II compiti e i ruoli di Titolare e Responsabile del trattamento, delineati nel Dlgs. 196/2003, sono stati nel tempo ulteriormente precisati dall’Autorità Garante attraverso pronunciamenti che hanno dettagliato le relazioni intercorrenti tra le due figure e gli “incaricati” del trattamento, i quali agiscono in virtù delle mansioni a loro affidate e delegate proprio da Titolare e Responsabile.

************ I NUOVI SOFTWARE PER ADEGUMENTO REG. 2016/679 ********
Consulta le video demo e scarica le presentazioni dei nuovi software per realizzare
la compliance e la valutaizone impatti trattamenti dati sulla privacy

****************************************************************

Il Titolare è la persona, fisica o giuridica, che – singolarmente o insieme ad altri – determina finalità e mezzi del trattamento e adotta misure tecniche e organizzative per garantire e dimostrare che il trattamento sia effettuato in conformità al Regolamento; è sempre il Titolare, qualora ve ne sia la necessità, a definire le politiche da adottare in materia di protezione dei dati personali.

Il Responsabile è la persona fisica o giuridica che, a seguito di una designazione formale, effettua il trattamento di dati personali per conto del Titolare.

Il Titolare, prima di designare un Responsabile e di affidargli l’incarico, deve verificarne le caratteristiche e le competenze e assicurarsi che offra garanzie sufficienti e sia in grado di adottare misure tecniche e organizzative adeguate a tutelare i diritti degli interessati.

I trattamenti effettuati dal Responsabile devono essere disciplinati da una nomina (in caso di attori della stessa organizzazione) o da un atto giuridico (contratto in caso di attori appartenenti ad organizzazioni diverse) che vincoli Titolare e Responsabile e che contenga gli accordi stabiliti tra i due attori.

In particolare, l’accordo dovrà contenere una descrizione dettagliata delle attività da svolgere – tipologia dei dati personali trattati, finalità e durata del trattamento, obblighi e diritti del titolare – e dovrà prevedere che il Responsabile possa effettuare le attività di trattamento esclusivamente dietro istruzione documentata del Titolare, soprattutto in caso di trasferimento dei dati personali verso un’organizzazione internazionale o un paese terzo.

****************************************************************

Il Responsabile dovrà garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza e dovrà impegnarsi a non affidare ad altri Responsabili specifiche attività di trattamento senza la preventiva autorizzazione del Titolare; dovrà quindi preventivamente sottoscrivere con tali altri Responsabili un’apposita nomina o contratto o atto giuridico che contenga gli stessi obblighi, in materia di protezione dati da lui sottoscritti con il Titolare.

Giova ricordare che, nel caso di affidamento ad altri Responsabili di parte delle attività di trattamento, il Responsabile designato dal Titolare conserva nei confronti di quest’ultimol’intera responsabilità dell’adempimento degli obblighi degli altri Responsabili nel caso di loro inadempienza.

Titolare e Responsabile possono stipulare contratti o atti giuridici specifici o, per la definizione del loro accordo, possono scegliere di basarsi, in tutto o in parte, su clausole contrattuali tipo appositamente predisposte.

****************************************************************

Il Responsabile ha inoltre l’obbligo di cancellare o restituire i dati in suo possesso al termine delle attività di trattamento effettuate per conto del Titolare; assiste il Titolare nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato, garantisce la sicurezza del trattamento, collabora per la notifica di violazioni dei dati personali all’Autorità Garante o, eventualmente, agli interessati; assiste inoltre il Titolare nella valutazione d’impatto sulla protezione dati e nelle occasioni in cui si renda necessario consultare preventivamente l’Autorità Garante in caso di rischio elevato connesso alle attività di trattamento; collabora, ove presente, con il Responsabile della Protezione dei Dati; mette a disposizione del Titolare ogni informazione necessaria a dimostrare il rispetto dei propri obblighi e contribuisce alle attività di revisione e di ispezione realizzate dal Titolare o da un suo incaricato.

Il rapporto tra i due attori è quindi molto stretto e molto chiaro: Titolare e Responsabile hanno diverse attribuzioni ma obblighi condivisi, primo tra tutti la tutela dei diritti degli interessati in conformità a quanto prescritto dal Regolamento.

Il Titolare nominerà quindi un Responsabile solo dopo averne attentamente pesato

caratteristiche e competenze, che devono essere dimostrabili: la nomina dovrà essere opportunamente considerata poiché un’errata valutazione potrà avere conseguenze anche spiacevoli per il Titolare ed esporlo al rischio di sanzioni.

D’altro canto, il Responsabile non potrà avere un atteggiamento “passivo” ma dovrà proattivamente collaborare, suggerire e adoperarsi affinché il trattamento a lui affidato si svolga entro confini ben definiti, con responsabilità chiare e reciproci d’impegni per la salvaguardia dei dati personali degli interessati.

Eventuali sanzioni possono infatti riguardare anche il Responsabile nel caso in cui questo non riesca a dimostrare di aver messo in atto comportamenti e cautele perfettamente in linea con quanto disposto dal Titolare. Rimane in ogni caso in capo al Responsabile, in particolare se esterno all’organizzazione, il rispetto degli obblighi normativi a prescindere da quanto indicato dal Titolare.

Il Regolamento Europeo indica in dettaglio le responsabilità delle due figure principali coinvolte nel trattamento dei dati personali e quali siano i passi da compiere per garantire che le operazioni sui dati personali avvengano con trasparenza e con compiti assegnati in modo inequivocabile.

Le organizzazioni dovranno effettuare scelte avvedute e ponderate e, nello spirito del Regolamento, dovranno conservare ed aggiornare la documentazione per dimostrare di aver preso decisioni adeguate alle prescrizioni normative.

Fonte: puntosicuro.it

Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet #privacy

Rispondi

Verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori. Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

****************************************************************

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali dei dipendenti che si connettevano alla rete. L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

****************************************************************

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di
specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali. L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

RECORD DI SANZIONI DEL GARANTE DELLA #PRIVACY: +190%.

Rispondi

Nel 2015 le sanzioni contestate dal Garante a seguito della propria attività ispettiva, svolta anche per mezzo della Guardia di Finanza, hanno segnato un aumento di oltre il 190 per cento rispetto all’anno precedente, mentre le sanzioni già riscosse dall’erariosono state pari a 3 milioni e 500 mila euro. 33 sono state le segnalazioni all’autorità giudiziaria.

****************************************************************

Gli accertamenti hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Perquanto riguarda il settore privato le ispezioni si sono rivolte principalmente al controllo a distanza e alla geolocalizzazione dei dipendenti; al marketing telefonico svolto dai call center, anche operanti all’estero; al trasferimento di dati verso Paesi extra Ue; ai trattamenti di dati effettuati da software house che forniscono servizi di supporto all’attività della polizia giudiziaria e alla magistratura; agli istituti bancari; alla conservazione dei dati tlc e Internet; alle strutture alberghiere; ai centri fitness; alle centrali rischi.

Tra le violazioni contestate più frequentemente vi sono: una insufficiente informazione agli interessati sull’uso dei dati personali; la mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante.

Per quanto riguarda le ispezioni programmate nel 2016 (senza escludere quindi quelle che potranno derivare dall’analisi di reclami, ricorsi e segnalazione degli interessati), l’attività del Garante si concentrerà in particolare:

– sui trattamenti effettuati da società multinazionali che trasferiscono i dati, nell’ambito di flussi intra-gruppo, nei paesi non appartenenti all’Unione europea;

– sulla verifica della corretta adozione delle misure minime di sicurezza da parte di soggetti che effettuano trattamenti di dati sensibili;

– sui trattamenti effettuati da organismi sanitari in relazione all’istituzione del dossier sanitario;

– sui trattamenti effettuati dai centri di assistenza fiscale (CAF), per la verifica del rispetto delle misure organizzative e di sicurezza adottate nell’ambito della trasmissione della dichiarazione dei redditi precompilata;

– sulla tracciabilità delle operazioni bancarie;

– più in generale, sull’obbligo di informativa, sulla pertinenza e non eccedenza nel trattamento, sulla libertà e validità del consenso, sulla durata della conservazione dei dati.

Fonte: Garante Privacy