Archivio mensile:agosto 2018

L’approccio corretto all’#audit #privacy #GDPR – parte 3 – Individuare le tipolige di dati trattati dall’azienda

 

 

Autore: Dr. Matteo Rapparini

In questo contributo analizziamo il primo step di audit GDPR, ovvero la definizione corretta della tipologia di dati personali che l’azienda tratta. La domanda a cui dobbiamo rispondere è la seguente: quali sono i dati personali che stiamo raccogliendo? La risposta è importante perchè da essa dipendono i controlli e le verifiche da effettuare.

L’art. 4 comma 1 del GDPR definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Esistono due categorie di dati personali. La prima riguarda tutto ciò che può essere usato per identificare un individuo:
nome
indirizzo
Indirizzo email
Indirizzo IP
Cookies
Numero di telefono
Numero di previdenza sociale
Numeri di identificazione

La seconda categoria è inerente le informazioni personali (speciali), che riguardano:
Origini razziale o etnica
Informazioni sanitarie
Opinioni politiche
Credenze religiose
Attività dell’Unione
Identità sessuale o di genere.

Il GDPR vieta di trattare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (rif. Art. 9 Reg. UE 2016/679).
Vi sono però delle eccezioni previste dalla normativa, indicati nel secondo paragrafo dell’ Art. 9)
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
=> Articolo: 22
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
=> Articolo: 22
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Se sono trattati dati personali di bambini di età inferiore ai 16 anni è necessario verificare la presenza del consenso dei genitori.

 

L’approccio corretto all’#audit #privacy #GDPR – parte 2 – Le domande iniziali…

Audit with Magnifying Glass

Continuiamo il percorso sull’approccio corretto all’audit privacy GDPR e protezione dati. In questo contributo vi forniamo alcune domande di base per iniziare l’attività di audit.

  1. Quali sono i dati che si trattano?
  2. Perchè sono utilizzati questi dati?
  3. Come sono stati e come vengono raccolti questi dati?
  4. Cosa fa l’organizzazione con questi dati?
  5. Come vengono archiviati i dati personali?
  6. Quali misure di sicurezza sono adottate?
  7. Chi gestisce questi dati?
  8. Chi “controlla” i dati personali utilizzati dall’organizzazione?
  9. Per quanto tempo sono conservati?
  10. Qual’è la procedure di cancellazione dei dati personali?

Audit with Magnifying Glass

L’approccio corretto all’audit GDPR – parte 1

L’obiettivo dell’audit GDPR è di verificare, una volta che sono stati implementati tutti gli adempimenti previsti dalla norma e necessari per rendere l’azienda compliance, che il “sistema privacy europeo” sia coerente, efficace ed efficiente.

Audit with Magnifying Glass

La periodicità richiesta per svolgere l’audit GDPR varia in funzione della complessità aziendale e della protezione dei dati. In genere è consigliabile ogni 6 mesi  verificare come il “sistema privacy europeo” stia funzionando in azienda. Vediamo i primi passi da svolgere.

  1. Occorre fissare una data per la riunione tra il Top Management  (o la direzione aziendale nelle realtà più piccole), il Titolare e il/i Responsabili trattamenti dati
  2. E’ consigliabile redigere una lettera di convocazione inviata per email
  3. E’ necessario definire lo scopo dell’audit GDPR che si andrà a pianificare e a realizzare.
  4. Occorre definire con precisione per la protezione dei dati personali e la compliance al Reg. Ue 2016/679, i rischi correnti noti, eventuali problemi di protezione dati, problematiche aziendali che possono influire sul livello di conformità al Reg. Ue 2016/679 e sulla protezione dei dati trattati.
  5. Le aree interessate all’audit GDPR – protezione dati possono essere ad esempio:
     governance e responsabilità della protezione dei dati;
     formazione e consapevolezza della protezione dei dati del personale;
     sicurezza dei dati personali;
     richieste di dati personali e portabilità dei dati;
     attività marketing diretto;
     condivisione delle informazioni;
     gestione delle regostrazioni;
     Valutazioni dell’impatto sulla protezione dei dati e gestione rischio di informazioni

La prossima settimana approfondiremo ulteriormente gli aspetti pratici dell’ Audit GDPR

Audit with Magnifying Glass

Pubblicato Kit privacy europea – versione azienda

kit_privacy_azienda

Kit privacy europea – vers. per singola azienda è lo strumento realizzato per rendere autonoma la piccola azienda nel realizzare gli adempimenti privacy richiesti dal Reg. Ue 2016/679.

Cosa deve fare la singola azienda per essere a norma con la privacy europea?

1) realizzare il check-up di autovalutazione conformità per evidenziare gli aspetti non conformi al Reg. Ue 2016/679.
Questa fase viene realizzata con il software Privacy compliance, in cui l’utente ottiene un dettagliato report con gli aspetti non conformi e i consigli operativi per essere a norma

2) individuare e catalogare i trattamenti dati realizzati in azienda.
Questa fase viene realizzata con il modello in MS Word del Registro dei trattamenti presente in Kit documentazione GDPR e per i casi più complessi con il software DPO Manager

3) realizzare la valutazione rischi impatti dei trattamenti
Questa fase viene realizzata con il software PIA – che guida anche l’utente non esperto nel realizzare tale adempimento previsto dall’art.35 del Reg. Ue 2016/679

4) aggiornare le informative e la modulistica
Questa fase viene realizzata con i modelli documentali già pronti e in formato MS Word disponibili in Kit documentazione GDPR

5) realizzare la formazione del Titolare trattamenti dati, Responsabile e incaricati trattamenti dati
Questa fase viene realizzata con il corso on line Esperto privacy europea(per il Titolare e il Responsabile trattamenti dati) e il corso on line Formazione privacy europea per incaricati trattamenti dati (max 5 utenti)

Il Kit viene fornito con una guida operativa che illustra passo per passocosa deve fare l’azienda per essere a norma con il Reg. Ue 2016/679 – privacy europea.

Kit privacy europea – vers. per singola azienda è costituito da:
Software Privacy compliance
Kit documentazione GDPR
Software DPO Manager
Software PIA
_ Corso on line Esperto privacy europea
_ Corso on line Formazione privacy europea per incaricati trattamenti dati (max 5) 
_ Guida all’implementazione autonoma della privacy europea in azienda

I software prevedono 1 licenza di installazione (si possono installare su 1 pc) – Richiedono sul pc la presenza di Windows XP, VISTA, 7,8,10 e versioni superiori – Assistenza erogata via web per 3 mesi.

Scopri l’offerta in corso

La privacy in condominio con il GDPR

Chi abita in un condominio, saprà sicuramente che la privacy è molto importante e se violata, può portare a spiacevoli screzi, oltre che ad ammende e multe. L’amministratore è la figura delegata come responsabile del trattamento e per nessun motivo può fornire i vostri dati o far consultare dei vostri documenti a terzi. Anche lui ha degli obblighi da rispettare che descriveremo accuratamente in seguito. Per i condomini, invece, grandi novità riguardanti le informative e il consenso. Dal 25 maggio 2018 è in vigore la nuova normativa. Il Garante della Privacy ha inoltre istituito un manuale ufficiale, il GDPR, dove sarà possibile consultare tutte le nuove normative e sapere tutto ciò che riguarda la privacy nel condominio. E’ scritto in maniera semplice ed intuitiva e vi guiderà passo dopo passo in ogni operazione che dovrete effettuare, dal semplice foglio informativo fino alla portabilità o cancellazione dei vostri dati personali.

Continua su www.clubdpo.com

 

Nuovo regolamento privacy, Registro trattamento attività: istruzioni ed esempi compilazione

Il Miur, con nota del 03/08/2018, ha trasmesso alle scuole uno schema di Registro delle attività di trattamento per le istituzione scolastiche, previsto dal Regolamento europeo sul trattamento dei dati personali.

Al fine di supportare le scuole nella corretta compilazione del Registro, inoltre, è stata fornita alle medesime un’apposita “Guida operativa”, precedentemente illustrata ai sindacati.

Insieme allo schema di registro e alla guida operativa, è stata pubblicata una nota metodologica, che illustra la metodologia utilizzata per la compilazione del Registro delle attività di trattamento rispetto ad un sotto insieme di processi gestiti dalle istituzioni scolastiche.

Continua su www.clubdpo.com con esempi pratici e modelli documentali

Privacy, su multe e ispezioni il Governo va incontro alle aziende

Il GDPR, il regolamento per il rispetto della privacy, in versione italiana dà un po’ di respiro alle aziende, che ora sono molto in affanno nel cercare di rispettare le nuove regole europee sulla privacy. Il Governo infatti ha deciso per un periodo di grazia delle attività di ispezione del Garante e possibili esenzioni per le PMI.

Ci sono queste tra le novità che si leggono nel testo che il Consiglio dei Ministri ha approvato e pronto per l’approvazione. Si tratta del decreto di adeguamento della normativa italiana al Regolamento privacy noto appunto come GDPR. Le regole europee sono scattate in Italia, come nel resto della Ue, il 26 maggio ma si aspettava un decreto italiano che le “personalizzasse” per la nostra situazione. Il testo non è ancora pubblico, ma a quanto risulta vi si legge tra l’altro un periodo di “grazia “ di 8 mesi per la piena applicazione dell’attività ispettiva del garante privacy. Inoltre, le piccole e medie imprese potranno essere oggetto di provvedimenti di esenzione del Garante Privacy.

Continua su www.clupdpo.com