Archivio mensile:maggio 2018

Offerte di lavoro per i consulenti privacy

Roma – La divisione Banking & Insurance di Randstad Professionals, specializzata nella ricerca e selezione di profili di middle, senior ed executive management, ricerca per istituto bancario di elevata complessità con base a Roma un                                                 ESPERTO PRIVACY

dpocorso

Candidati

***************************************
Monza – ESPERTO PRIVACY La ricerca è volta ad un profilo autonomo, sarà la referente operativa interna all’azienda, in merito ai temi sulla Privacy.La risorsa dovrà avere almeno 3-4 anni di esperienza e deve aver conseguito una laurea in Legge.

foto

Candidati

***************************************
Milano
Accenture Application Security is now looking for Data Protection & GDPR professionals, with a strong experience in Data Protection and solid expertise on data privacy matters, capable of defining and realizing comprehensive solutions for data protection and of supporting our Clients in choosing and implementing the most appropriate technologies to achieve compliance with the General Data Protection Regulatory (GDPR).

kit_privacy

***************************************
Venezia
Importante organizzazione specializzata in servizi consulenziali alle aziende ricerca per la propria sede di Venezia DATA PROTECTION MANAGER
Requisiti richiesti:
– conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, soprattutto di natura tecnico-informatica;
– ottima conoscenza delle tecnologie informatiche e delle misure di sicurezza dei dati;
– capacità di promuovere una cultura dela protezione dati all’interno dell’organizzazione e presso le aziende clienti

Candidati

***************************************

Quali caratteristiche deve possedere il DPO?

Il livello di qualifiche e competenze richiesto da un responsabile della protezione dei dati (RPD) non è chiaramente definito nel nuovo regolamento europeo sulla protezione dei dati generali (GDPR).

Ciò rende difficile la nomina di un DPO. Molti iscritti ai nostri corsi di formazione sulla privacy europea sono estremamente desiderosi di comprendere i requisiti del regolamento, compresa la nomina del responsabile della protezione dei dati.

Secondo il regolamento stesso, il responsabile della protezione dei dati deve disporre di un livello adeguato di esperienza, qualità professionali ed essere in grado di adempiere ai propri compiti.

Livello di competenza

Il livello di esperienza richiesto a un DPO può variare in base alla complessità e alla quantità di dati elaborati dall’organizzazione. Tuttavia, poiché il DPO è fondamentale per garantire che l’azienda eviti le multe astronomiche imposte dal presente regolamento, la ricerca di un candidato con una determinata esperienza è un buon punto di partenza.

Il DPO deve avere un’esperienza significativa ed evidente nel diritto comunitario e mondiale sulla privacy, la capacità di elaborare solide e corrette politiche sulla privacy e la conoscenza degli accordi di esternalizzazione. Un candidato con un background legale o una qualifica analoga può essere adatto a questo ruolo. Dato che viviamo in un’epoca dominata dalla tecnologia, anche l’esperienza nelle operazioni IT può essere utile.

Qualità professionali

Poiché il Reg. Ue 2016/679 non è solo un problema del settore IT e può influenzare molti aspetti della tua attività, al tuo DPO potrebbe essere richiesto di lavorare con vari reparti al fine di ottenere la conformità al GDPR. Pertanto, le capacità di leadership e la capacità di lavorare bene in team sono skill fondamentali affinché il DPO possa avere successo nel proprio ruolo.

Il tuo DPO sarà anche il punto di contatto per i tuoi clienti o il pubblico in caso di richieste inerenti la privacy. Pertanto sono richieste anche importanti capacità di comunicazione e di relazioni pubbliche.

Come per qualsiasi posizione che si sta cercando di riempire, è fondamentale che il candidato DPO possieda una buona conoscenza del settore aziendale in cui opera l’organizzazione.

Se la propria organizzazione è un ente pubblico, il responsabile della protezione dei dati deve avere una buona conoscenza delle regole e delle procedure amministrative.

Capacità di adempiere ai propri compiti

Poiché il responsabile della protezione dei dati è essenzialmente un responsabile della conformità ed è tenuto ad agire in modo indipendente, la capacità di adempiere ai compiti e di lavorare in modo autonomo, sono  fondamentali. Il DPO non deve assolutamente essere istruito nel raggiungere determinati obiettivi; deve essere lui a definire tali obiettivi di protezione dei dati e decidere il modo migliore per perseguirli.

Laddove la nomina di un responsabile della protezione dei dati non è obbligatoria, è incoraggiata e consigliata dal regolamento come scelta opportuna dimostrare la conformità e per assicurare la sua corretta applicazione. Dato che questo ruolo è nuovo per molte organizzazioni in Italia, trovare un candidato adatto che abbia tutte le caratteristiche può essere un compito impegnativo.

Perché il 25 maggio 2018 è solo l’inizio e non la fine del GDPR!

Oggi 25 maggio 2018, il regolamento generale sulla protezione dei dati dell’UE (GDPR) entra in vigore.

Questa data rappresenta solo l’inizio di un lungo viaggio di conformità per la maggior parte di aziende ed enti.. La consapevolezza del regolamento è certamente aumentata, ma non abbastanza da permettere alle organizzazioni di sapere cosa stanno facendo. Troppi ancora ritengono erroneamente che investire in poche e accattivanti tecnologie di sicurezza sia sufficiente. Credono che le multe saranno qualcosa che accadrà ad altre aziende, non alla propria.

Si sitma che potrebbero volerci fino a cinque anni prima di vedere alti e diffusi livelli di conformità al Reg. Ue 2016/679. Fino ad allora, per molti potrebbe essere una via cruscis se non si concentreranno in questo momento sulla documentazione e sui processi.

C’è ancora un’idea molto diffusa in molti cda che le violazioni e le relative multe possibili, non influenzeranno la propria organizzazione.

Un rapporto afferma che il 38% dei responsabili  IT ritiene che la propria organizzazione non abbia considerato prioritaria la conformità al GDPR entro la scadenza. Per certi aspetti è atteggiamento sconcertante se consideriamo gli alti interessi in gioco: dopo tutto, una multa del 4% del fatturato annuale globale è sufficiente per cacciare  qualsiasi amministratore delegato.
In realtà l’atteggiamento molto diffuso è che si spera in un approccio soft del Garante Privacy, vedi anche le false notizie dele ultime settimane in cui si mormorava la moratoria per 6 mesi delle sanzioni (voci immediatamente smentite dal Garante stesso).

Le previsioni dicono che i Garanti europei cominceranno molto seriamente l’attività di vigilanza, controllo e sanzionatoria, e questo spingerà ulteriormente le aziende meno virtuose a finanziare progetti completi di compliance al Reg. ue 2016/679.
In questa rincorsa si potranno verificare delle lacune nella realizzazione degli adempimenti dettate dalla fretta e dalla difficoltà di assicurarsi validi consulenti.
E queste lacune faranno sì che
le organizzazioni rimarranno esposte al rischio di violazioni e di controlli del Garante.

In realtà la conformità al GDPR e il suo mantenimento costituisce un processo dinamico, di migliroamento continuo supportato dalla tecnologia.

Le aziende quando saranno consapevoli di ciò, dovranno capire:

Dove sono archiviate le informazioni personali identificabili (PII) dei clienti / dipendenti
Le dinamiche dei flussi di dati all’interno e all’esterno dell’organizzazione
Quali dati devono essere eliminati in modo permanente in base al principio della minimizzazione
Dove i dati devono essere conservati e criptati o pseudonimizzati , forse per soddisfare altri requisiti normativi come quelli sanitari.

Le aziende di medie dimensioni sono probabilmente quelle peggio preparate alla scadenza del 25 maggio grazie alla confusione dei cda sul GDPR e alle risorse limitate.
Le aziende più grandi hanno ulteriori  sfide, ad esempio la gestione della documentazione necessaria per conformarsi.

I Data protection officer (DPO), imposti dal regolamento a molte aziende, contribuiranno al processo fintanto che non saranno emarginati all’interno dell’organizzazione. I responsabili della privacy sono stati tradizionalmente considerati da molte aziende come un freno all’innovazione piuttosto che un fattore di crescita.

La conformità non è una destinazione, è un continuo processo di miglioramento.

Gdpr: al via la procedura online

Al via la procedura online per comunicare al Garante della privacy i dati dei responsabili della protezione dei dati (Dpo), la nuova figura che pubbliche amministrazioni, imprese ed enti dovranno designare obbligatoriamente entro il prossimo 25 maggio, per assicurare il rispetto delle disposizioni del regolamento europeo (Gdpr).

dpocorso
Nello specifico, i soggetti pubblici sono tenuti indistintamente alla nomina, mentre nel privato, l’obbligo vale per coloro che, come attività principale svolta su “larga scala”, trattano dati particolari (sensibili, biometrici, ecc.) o fanno monitoraggio sistematico delle persone.

La disposizione, spiega il Garante, mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati, punto di contatto tra il singolo ente o azienda e il garante, in modo facile e diretto, come chiarito nelle linee guida adottate ad hoc.

 

Link per la comunicazione al Garante privacy dati DPO

Come aggiornare il sito Web al GDPR

Una delle attività necessarie nel processo di applicazione del Reg. Ue 2016/679 (GDPR) è quella di aggiornare il sito web della propria attività.

Quali sono alcuni degli aspetti da considerare? Vediamoli insieme.

*******************NUOVO SOFTWARE AUDIT WEB GDPR ***************************

home

Audit WEB GDPR è il nuovo software che consente di verificare rapidamente la conformità al regolamento europeo privacy 2016/679 dei siti web e se sono o meno sanzionabili.
Il software permette di verificare la struttura del sito e le modalità di gestione dati raccolti tramite il web . L’utente può personalizzare e aggiungere nuovi punti di verifica.
L’utente rispondendo a 17 quesiti (SI/NO)in pochi secondi ottiene un report con indicato:
_ il livello di conformità al regolamento europeo privacy e se o meno sanzionabile
_ i consigli operativi per mettere a norma la gestione dei dati del sito web

report2

****************************************************************************

E’ presente il  modulo di contatto?
Assicurati di aggiungere una casella di controllo che richieda specificatamente all’utente  se acconsente a memorizzare e utilizzare le sue informazioni personali per essere contattato. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.

I visitatori possono lasciare commenti sul  sito web?
Assicurati di aggiungere una casella di controllo che richieda specificamente all’utentei se acconsente a memorizzare il suo messaggio allegato all’indirizzo e-mail che hanno usato per commentare. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.


C’è un modulo d’ordine sul tuo sito web ?
Assicurati di aggiungere una casella di controllo che richieda specificatamente all’utente  se acconsente a memorizzare e utilizzare le sue informazioni personali per inviare l’ordine. Questo non può essere la stessa casella di controllo della policy sulla privacy che dovresti già avere. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.

E’ presente un forum o una bacheca?
Assicurati di aggiungere una casella di controllo che richieda specificamente agli utenti di forum / forum se acconsentono alla memorizzazione e all’utilizzo delle loro informazioni e messaggi personali. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.

I visitatori possono chattare direttamente con la tua azienda?
Assicurati di aggiungere una casella di controllo che richieda specificamente agli utenti di chat se acconsentono alla memorizzazione e all’utilizzo delle loro informazioni e messaggi personali. La casella di controllo deve essere deselezionata per impostazione predefinita. Ti consigliamo inoltre di menzionare per quanto tempo conserverai i messaggi di chat o li cancellerai tutti entro 24 ore. Indica anche se invierai o condividi i dati con terze parti e quali.

Identificazione delle vulnerabilità della violazione dei dati per limitare la responsabilità

La gestione delle informazioni della tua azienda per ridurre al minimo il rischio legale creato da attacchi informatici e violazioni dei dati è sempre più importante.

dpocorso

È importante avere una visione chiara dell’intero panorama delle minacce relativi ai dati aziendali.

Da un lato gli attacchi informatici, che godono di una maggiore risonanza mediatica. Dall’altra non meno importanti sono “incidenti” come lo smarrimento di un computer o la cancellazione accidentale di un file, per i danni che possono provocare come conseguenza di una violazione dei dati.

Gli incidenti che possono causare una violazione dei dati possono essere accidentali o intenzionali, provocati da persone note della tua azienda (minacce interne) o da “entità” estranee (minacce esterne).

Le violazioni accidentali possono includere la perdita di documenti o attrezzature (come telefoni cellulari o laptop), l’invio di dati alla persona sbagliata, l’accesso non autorizzato a dischi condivisi o applicazioni aziendali e guasti alle apparecchiature (inclusi computer, software o server). Le persone conosciute dalla tua azienda, come dipendenti o partner, possono anche causare violazioni intenzionali rubando o divulgando dati nel tentativo di avere un profitto o sabotare l’azienda.

D’altro canto, le minacce esterne sono più spesso intenzionali e includono tentativi di rubare i dati hackerando o utilizzando tattiche di phishing per installare malware.

 

GDPR – 5 punti essenziali da rispettare entro il 25 maggio

Tra 17 giorni scade il termine per essere a norma con il Reg. Ue 2016/679. Ecco un elenco minimo delle cose da fare.

1. Il primo adempimento importante è il registro dei trattamenti previsto dall’art. 30 del Regolamento. Sono esonerate le organizzazioni e le imprese con meno di 250 dipendenti, ma solo se non svolgono i trattamenti critici elencati al paragrafo 5 . E’ consigliabile prevedere il registro dei trattamenti a prescindere dall’obbligo dell’art. 30.
2. Il secondo adempimento “obbligatorio” è la valutazione di impatto dei trattamenti previsto dall’art. 35.
La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; ,
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il nostro Garante non ha ancora reso pubblici “l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati” . Ciò ha creato una situazione di incertezza molto diffusa

3. Il terzo step “obbligatorio” è la predisposizione delle informative (art. 12 ) e del consenso dell’interessato (art. 7).

4. Un altro adempimento che è consigliabile compiere entro il 25 maggio è la nomina del Responsabile della protezione dei dati (RPD o DPO, Data Protection Officer), nei casi in cui è prevista (art. 37 e seguenti).
Del DPO si è parlato molto e molti hanno improvvisato corsi e improbabili “certificazioni” – -> I chiarimenti del Garante sulla Norma UNI che “certifica” i DPO.

5. La sicurezza di ogni singolo trattamento (art. 32) è infine l’ultimo dei 5 indispensabili adempimenti da realizzare entro il 25 maggio.
“……..il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”
L’aggettivo “adeguato”è qualcosa di molto più impegnativo delle vecchie “misure minime”, previste dal D.lgs 196/03. Per cui questo deve fare riflettere ulteriormente il titolare del trattamento dati sulla necessità di assicurare un livello alto e compelto della sicurezza dei trattamenti dati