Archivio mensile:marzo 2017

Le idee confuse delle aziende italiane sulla privacy europea

Il Regolamento UE 2016/679 sarà operativo tra circa un anno, ma una ricerca mostra che il 32% delle imprese non sa ancora se rientra o no nell’obbligo di nomina del data protection officer, e un’azienda su cinque ha collocato la funzione privacy nell’area IT, con rischi di conflitti d’interesse e sanzioni.

A rischio anche l’aspettativa per una norma tecnica sulle figure professionali del settore, che attribuirebbe al DPO molte competenze informatiche, mentre l’art. 37 del nuovo testo richiede che debba essere designato in funzione della conoscenza specialistica della normativa.

Potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dei trasgressori le sanzioni previste dal nuovo Regolamento UE 2016/679 che sarà applicabile dal 25 maggio 2018, tanto è che tre aziende italiane su quattro si sono organizzate prevedendo nel loro organigramma una specifica funzione per la protezione dei dati personali.

E se l’entità delle multe ha convinto il 75,7% delle imprese a dotarsi anche di un referente interno per occuparsi dei temi della privacy, il rovescio della medaglia è che in realtà il 32% delle aziende non sa ancora se rientra o meno nell’obbligo di designare un data protection officer, e nel dubbio il 72% non ha nominato nessuno per ricoprire questo ruolo.

Questa è la fotografia scattata da una ricerca condotta dall’Osservatorio di Federprivacy su un campione di circa mille aziende italiane che tra poco più di anno dovranno farsi trovare conformi alle nuove regole sulla protezione dei dati.

Ma che una fetta importante delle imprese italiane non abbia ancora le idee chiare sui temi della privacy, è confermato dal fatto che anche tra quelle che il data protection officer lo hanno già nominato, nel 25% dei casi è stato selezionato un candidato con un titolo di studio informatico, e un’azienda su cinque (20%) ha scelto una risorsa con retaggio IT, e questo nonostante l’art.37 del nuovo testo richieda di designare il responsabile della protezione dei dati (DPO) “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. Inoltre, ben il 22% delle aziende intervistate ha collocato la funzione nell’area dell’Information Technology, esponendosi in tal modo anche a rischi di sanzioni, come osserva Nicola Bernardi, presidente di Federprivacy:

“L’art.38 del Regolamento richiede che il titolare debba assicurarsi che i compiti svolti dal data protection officer non diano adito a un conflitto di interessi, ma se tali funzioni vengono svolte all’interno del reparto IT, dove generalmente vengono trattati la maggior parte dei flussi di dati aziendali, questo produce nella maggior parte dei casi una sorta di auto-monitoraggio in cui una funzione dovrebbe controllare il proprio operato, in contrasto con le disposizioni del Regolamento”.

E se le tendenze emerse dalla ricerca rivelano che il quadro attuale presenta diverse incertezze sulla corretta attuazione delle prescrizioni del Regolamento UE, rischia di disattendere le aspettative anche la norma tecnica arrivata all’inchiesta pubbliche finale in UNI, che è stata elaborata con l’obiettivo di definire varie figure professionali del settore, tra le quali lo stesso data protection officer, che però al momento risulta sia generico sul piano delle necessarie competenze giuridiche, sia arricchito di molti altri skill informatici che lo allontanano dal profilo descritto nel testo di legge, non contribuendo così a fornire un corretto e chiaro orientamento di cui avrebbero bisogno le imprese per arrivare conformi al 25 maggio 2018.

Naturalmente, come prevede la prassi per le norme tecniche, il documento in questione (Cod. Progetto E14D00036) è soggetto a modifiche da parte di UNI in base ai commenti di tutte le parti interessate, che potranno essere inviate all’ente italiano di normazione fino al 25 marzo 2017.

Fonte: Federprivacy.it

Privacy e regolamento UE: la tabella degli obblighi e degli adempimenti del titolare

Rispondi

Pubblicato su Altalex.com Uno schema sintetico degli obblighi/adempimenti/cautele di spettanza del titolare del trattamento in base alle norme del Regolamento UE 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali).

Link

Stangata del Garante Privacy: 11 milioni di multa a cinque società money transfer

Rispondi

Sanzioni per oltre 11 milioni di euro sono state comminate dal Garante privacy a cinque società che operano nel settore del money transfer per aver usato in modo illecito i dati personali di più di mille persone inconsapevoli. Le gravi violazioni sono emerse nel corso di un’indagine della Procura di Roma.

Il Nucleo di polizia valutaria della Guardia di finanza su delega della magistraturaha infatti accertato che una multinazionale, in concorso con altre quattro società, raccoglieva e trasferiva in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali. La violazione della normativa sulla privacy ha determinando l’intervento del Garante.

Per assecondare il desiderio della clientela di impedire l’associazione tra le rimesse finanziarie e i reali mittenti le società operavano attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati.

Il trattamento dei dati avveniva senza consenso.I nominativi ai quali erano intestati i trasferimenti non erano mai i reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. Gli invii di denaro, poi, venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto soglia e indirizzati allo stesso destinatario. I nominativi cui erano attribuiti i trasferimenti, inoltre, erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori, e da utilizzare all’occorrenza.

Alla luce dei risultati dell’indagine, il Garante, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto le seguenti sanzioni: 5.880.000 euro alla multinazionale, 1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società, per un importo complessivo di oltre 11 milioni di euro.

Le società hanno 30 giorni di tempo dalla notificazione dei provvedimenti per il pagamento delle sanzioni.

Fonte: Garante Privacy

Modelli Informativa privacy aggiornati al Reg. UE 2016/679

Rispondi

Sono disponibili i seguenti modelli di informativa privacy aggiornati al Reg. UE 2016/679 con indicazioni per la compilazione e la personalizzazione:
_ informativa privacy con dati raccolti presso interessato
_ inforamtiva privacy con dati non raccolti presso interessato
_ informativa privacy sito web

I modelli sono in formato MS Word editabile.

Sono disponibli al prezzo di 199 euro i.e. – Invio dei prodotti via email entro 2 ore dall’ordine (pagamento con carta di credito) o entro 24 ore (pagamento con bonifico bancario)

esempio_inf_web

esempio

_ Pagamento con carta di credito su protocollo sicuro PayPal

_ Pagamento con bonifico bancario – importo bonifico: 242,78 euro
IBAN IT54 Y070 7202 4060 2900 0604 344 – Emil Banca intestato a Edirama di M. Rapparini – Una volta effettuato il bonifico inviare copia via email a ediramaweb@gmail.com

Pubblicato il software Informativa Compliance per realizzare informative privacy conformi al Reg. Ue 2016/679

Rispondi

Software Informativa Compliance è il software per realizzare informative privacy conformi al Regolamento europeo 2016/679.

Il software grazie alla bancadati quesiti/risposte consente di determinare gli aspetti non conformi dell’informativa e propone le misure correttive per renderla conforme al Regolamento europeo 2016/679.
L’utente deve rispondere ai quesiti che propone il software e in automatico ottiene un report con indicate le misure da applicare per rendere conforme l’informativa privacy alla norma europea.

Il software consente di realizzare l’analisi per un numero illimitato informative.
La bancadati contenente i quesiti e le misure da applicare per essere a norma è personalizzabile ed esportabile in formato MS EXCEL o MS ACCESS. Il software può così essere aggiornato dall’utente.

Requisiti: Windows XP, VISTA, 7, 8, 9, 10 e versioni superiori
Licenza per 2 pc – aggiornamenti e assistenza inclusi per 12 mesi
In offerta a 299 euro i.e. anzichè 399 euro i.e.

report

Guarda il video demo

Come ordinare
_ carta di credito su protocollo sicuro PayPal
_ bonifico bancario -Importo bonifico: 364,78 €
IBAN IT54 Y070 7202 4060 2900 0604 344 – Emil Banca intestato a Edirama di M. Rapparini – Una volta effettuato il bonifico inviare copia via email a ediramaweb@gmail.com e ricevi entro 24 ore il link per il download.

A pagamento avvenuto riceverai entro 1 ora (carta di credito) o 12 ore (bonifico bancario) il link per il download

.******** GUARDA L’OFFERTA DEL PACCHETTO SOFTWARE PRIVACY 2016/679 *******

Privacy +38% di sanzioni nel 2016

Rispondi

Il bilancio 2016 segna, rispetto all’anno precedente, un incremento di circa il 38% dei procedimenti sanzionatori avviati che sono saliti a 2.339, diversi dei quali relativi a violazioni di dati personali subite (data breach). Le sanzioni già riscosse dall’erario sono state pari a 3 milioni e 300 mila euro. 53 sono state le segnalazioni all’autorità giudiziaria, la maggior parte delle quali relative a casi di mancata adozione delle misure minime di sicurezza.

Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing; a quelle che si occupano di web marketing e marketing telefonico; alle società che si occupano di ricerca genetica; alle agenzie di lavoro interinale; alle società di assistenza tecnica e recupero dati per pc e telefonia mobile; ai giochi on line; alle finanziarie. Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata particolarmente sui Caf e le grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit.

Il quadro dell’attività ispettiva del Garante nel 2016 mostra una ancora insufficiente informazione agli utenti sull’uso dei dati personali, sia da parte delle Pa che delle aziende (200 violazioni riscontrate); una mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza e le sanzioni per non aver risposto alle richieste di informazione e documentazione del Garante.