Archivio dell'autore: sicurezzapratica

L’aggiornamento annuale del DPO

In questo video ti spiego perchè è necessario svolgere l’aggiornamento annuale come Data Protection Officer.

Ti segnalo il corso on line Aggiornamento DPO 2019 – Guarda i contenuti dal seguente link

Dr. Matteo Rapparini – CEO Edirama – http://www.consulenzaprivacy.org

British Airways è riuscita a far registrare un nuovo, poco invidiabile, record: a seguito della violazione informatica subita nel 2018, l’Information Commissioner’s Office (ICO) le ha inflitto una multa da 204 milioni euro (183 milioni di sterline), una cifra che rappresenta l’1,5% del fatturato annuo della compagnia aerea e la pena pecuniaria più alta al mondo mai comminata per un furto informatico di dati. Una cifra così elevata è giustificata dall’applicazione delle norme relative al GDPR, che prevedono una pena pecuniaria massima pari al 4% del fatturato aziendale.

FAQ DPO- Come occorre svolgere l’audit a un anno di applicazione del GDPR?


Dr. Matteo Rapparini – CEO Edirama – www.edirama.org

L’audit realizzato dal DPO è una nuova attività che in azienda può spaventare o almeno essere considerata dai responsabili di funzione e dai dipendenti, un’azione “intrusiva” che può andare a valutare il proprio operato in ambito privacy.

E’ quindi importante che quest’anno gli audit del DPO, di verifica e di controllo inerenti il GDPR, siano accomunati dal criterio di non dare pagelle e votazioni alle funzioni coinvolte nel trattamento dei dati personali, ma siano invece guidati da un obiettivo diverso: ovvero verificare lo stato delle cose inerenti la privacy per poi definire successive evoluzioni e interventi.

Sostanzialmente quest’anno gli audit del DPO dovranno aiutare le funzioni aziendali a prendere coscienza di cosa veramente sono tenute a fare ogni giorno per rispettare le prescrizioni privacy aziendali.

Vediamo come fare nella pratica – I 6 step da seguire

Continua su www.clubdpo.com

Preventivo.info – lo strumento per trovare nuovi clienti GDPR

E’ attivo il nuovo servizio preventivo.info che consente di inoltrare richieste di preventivi di consulenza in ambito privacy-gdpr

Questo servizio permette di consulenti privacy di disporre di un potente strumento marketing in grado di incrementare il fatturato professionale mediante:
_ le richieste di preventivo consulenza privacy GDPR
_ la vetrina consulenti privacy
_ tools e guide di supporto per sviluppare l’attività di consulente

Tutto questo su www.preventivo.info

Marketing: no alla raccolta punti “acchiappa consensi”

Per poter partecipare ad un programma di raccolta punti e usufruire così di piccoli vantaggi il cliente non deve essere obbligato ad esprimere il consenso a ricevere pubblicità. Il principio è stato ribadito dal Garante privacy che ha vietato a una nota marca di pannolini l’ulteriore trattamento per finalità promozionali dei dati di oltre un milione e mezzo di persone, acquisiti in modo illecito mediante il form “raccolta punti” del sito della società.

Dagli accertamenti svolti dal Garante in collaborazione con il Nucleo speciale privacy della guardia di finanza, a seguito di una segnalazione, è emerso che solo nei primi due mesi del 2018 la società ha inviato newsletter promozionali a circa un milione di indirizzi e-mail raccolti e utilizzati senza un valido consenso.

Ai clienti interessati alla raccolta punti, infatti, non veniva data la possibilità, come richiesto dalla normativa, di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere, tra le quali vi era appunto l’attività promozionale. Per poter completare la registrazione e aderire al programma di fidelizzazione i clienti erano invece obbligati a rilasciare due consensi generici, uno per la società e uno per i marchi collegati.

Oltre a disporre il divieto, il Garante ha ingiunto alla società, qualora intenda svolgere attività promozionali, di modificare il form di raccolta dati presente sul sito, affinché gli utenti possano esprimere un consenso libero e informato per tale finalità.

Per i trattamenti illeciti è stata applicata una sanzione amministrativa che la società ha già pagato.

Informazioni commerciali e Gdpr: le nuove regole 

Informazioni commerciali e Gdpr: le nuove regole 
Il Garante privacy approva il Codice di condotta proposto dall’Ancic

Maggiore tutela delle persone censite, valutazione di impatto sulla protezione dei dati, adeguamento alle best practices europee, un nuovo organismo di monitoraggio sulle imprese aderenti al Codice. Queste sono alcune delle misure indicate nel Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic), e approvato dal Garante per la privacy dopo un complesso iter di elaborazione.

Il testo sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali – che rimarrà comunque in vigore fino al 19 settembre 2019 – aiutando le imprese del settore ad adeguarsi al Regolamento Ue in materia di protezione dati (Gdpr) e alla normativa italiana, modificata a fine 2018.

Nel Codice di condotta trova concreta applicazione il principio di responsabilizzazione (la cosiddetta accountability), fortemente sostenuto nel Gdpr, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Con il nuovo testo, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso – basandosi sul legittimo interesse – ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Diverse le novità introdotte. I fornitori aderenti dovranno operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali. Ogni fornitore dovrà inoltre impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, e dovrà designare – quando previsto – un responsabile per la protezione dei dati (Rpd/Dpo).

Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

L’Autorità segnala che ha approvato il codice di condotta, ma ne ha subordinato l’efficacia al completamento della fase di accreditamento dell’Organismo di monitoraggio, come previsto dal Regolamento Ue sulla privacy. Per procedere in tal senso occorrerà però aspettare la conclusione dei lavori – in seno all’Edpb, organismo che riunisce tutti i Garanti europei – per la definizione di criteri uniformi per l’accreditamento.

Nel sottolineare l’importanza del nuovo Codice di condotta, l’Autorità ricorda che il suo rispetto potrà servire alle imprese a dimostrare la conformità alla normativa del trattamento dei dati personali da esse effettuato.