Archivi categoria: audit

E dopo l’approvazione del D.lgs @101/18, al via le #ispezioni #privacy. Ecco cosa sarà verificato!

Dal 19 di settembre, data di entrata in vigore del D.lgs 101/18, le ispezioni del Garante privacy e del Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza diventano operative.

I controlli verteranno sul rispetto degli obblighi di informativa, sull’acquisizione del consenso nei casi previsti, sul periodo di conservazione dei dati e sulle misure di sicurezza per la loro protezione, e terranno conto, in particolare, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d’impatto e di designazione del Responsabile della protezione dei dati.

Audit Word Meaning Validating Auditing Or Scrutiny

L’attività ispettiva riguarderà anche, come di prassi, le istruttorie avviate sulla base di segnalazioni o reclami presentati dai cittadini, con particolare attenzione alle violazioni più gravi.

Le sanzioni di tipo amministrativo possono arrivare al 4% del fatturato annuale dell’azienda.

Su www.clubdpo.com abbiamo pubblicato un articolo su come comportarsi in caso di ispezione privacy – riservato agli abbonati

 

L’approccio corretto all’#audit #privacy #GDPR – parte 4 – Individuare le modalità di archiviazione dei dati

Dove stiamo archiviando i dati?
Questa è la quarta domanda da farsi durante un audit privacy.

Il GDPR richiede di documentare dove si conservano i dati personali dei cittadini dell’UE. Ai fini di questa verifica, “dove” si riferisce sia a una posizione geografica sia a quale tipo di meccanismo (modalità/supporto) si sta utilizzando per archiviarli, indipendentemente dal fatto che si tratti di e-mail, documenti, database, backup, elenchi di e-mail, ecc.

Quindi, dopo aver mappato dove sono raccolte le informazioni e cosa viene raccolti, occorre capire dove il tutto viene memorizzato.
Ad esempio un avviso del genere su un form di raccolta dati può apparire eccessivo, ma è  corretto ai fini della compliance al GDPR
“Questo modulo  registra gli indirizzi e-mail in un database memorizzato su un server nel nostro ufficio di Milano.”

Domande utili di approfondimento

Dove sono archiviati i dati?
Viene realizzato  il backup?
Sono utilizzate applicazioni cloud?
Hai un regolare contratto con il tuo provider dei servizi di archiviazione?
Il tuo provider dei servizi di archiviazione dispone di un adeguato sistema di sicurezza e protezione dati?
Chi ha accesso ai dati?

L’approccio corretto all’#audit #privacy #GDPR – parte 3 – Individuare le tipolige di dati trattati dall’azienda

 

 

Autore: Dr. Matteo Rapparini

In questo contributo analizziamo il primo step di audit GDPR, ovvero la definizione corretta della tipologia di dati personali che l’azienda tratta. La domanda a cui dobbiamo rispondere è la seguente: quali sono i dati personali che stiamo raccogliendo? La risposta è importante perchè da essa dipendono i controlli e le verifiche da effettuare.

L’art. 4 comma 1 del GDPR definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Esistono due categorie di dati personali. La prima riguarda tutto ciò che può essere usato per identificare un individuo:
nome
indirizzo
Indirizzo email
Indirizzo IP
Cookies
Numero di telefono
Numero di previdenza sociale
Numeri di identificazione

La seconda categoria è inerente le informazioni personali (speciali), che riguardano:
Origini razziale o etnica
Informazioni sanitarie
Opinioni politiche
Credenze religiose
Attività dell’Unione
Identità sessuale o di genere.

Il GDPR vieta di trattare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (rif. Art. 9 Reg. UE 2016/679).
Vi sono però delle eccezioni previste dalla normativa, indicati nel secondo paragrafo dell’ Art. 9)
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
=> Articolo: 22
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
=> Articolo: 22
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Se sono trattati dati personali di bambini di età inferiore ai 16 anni è necessario verificare la presenza del consenso dei genitori.

 

L’approccio corretto all’#audit #privacy #GDPR – parte 2 – Le domande iniziali…

Audit with Magnifying Glass

Continuiamo il percorso sull’approccio corretto all’audit privacy GDPR e protezione dati. In questo contributo vi forniamo alcune domande di base per iniziare l’attività di audit.

  1. Quali sono i dati che si trattano?
  2. Perchè sono utilizzati questi dati?
  3. Come sono stati e come vengono raccolti questi dati?
  4. Cosa fa l’organizzazione con questi dati?
  5. Come vengono archiviati i dati personali?
  6. Quali misure di sicurezza sono adottate?
  7. Chi gestisce questi dati?
  8. Chi “controlla” i dati personali utilizzati dall’organizzazione?
  9. Per quanto tempo sono conservati?
  10. Qual’è la procedure di cancellazione dei dati personali?

Audit with Magnifying Glass

L’approccio corretto all’audit GDPR – parte 1

L’obiettivo dell’audit GDPR è di verificare, una volta che sono stati implementati tutti gli adempimenti previsti dalla norma e necessari per rendere l’azienda compliance, che il “sistema privacy europeo” sia coerente, efficace ed efficiente.

Audit with Magnifying Glass

La periodicità richiesta per svolgere l’audit GDPR varia in funzione della complessità aziendale e della protezione dei dati. In genere è consigliabile ogni 6 mesi  verificare come il “sistema privacy europeo” stia funzionando in azienda. Vediamo i primi passi da svolgere.

  1. Occorre fissare una data per la riunione tra il Top Management  (o la direzione aziendale nelle realtà più piccole), il Titolare e il/i Responsabili trattamenti dati
  2. E’ consigliabile redigere una lettera di convocazione inviata per email
  3. E’ necessario definire lo scopo dell’audit GDPR che si andrà a pianificare e a realizzare.
  4. Occorre definire con precisione per la protezione dei dati personali e la compliance al Reg. Ue 2016/679, i rischi correnti noti, eventuali problemi di protezione dati, problematiche aziendali che possono influire sul livello di conformità al Reg. Ue 2016/679 e sulla protezione dei dati trattati.
  5. Le aree interessate all’audit GDPR – protezione dati possono essere ad esempio:
     governance e responsabilità della protezione dei dati;
     formazione e consapevolezza della protezione dei dati del personale;
     sicurezza dei dati personali;
     richieste di dati personali e portabilità dei dati;
     attività marketing diretto;
     condivisione delle informazioni;
     gestione delle regostrazioni;
     Valutazioni dell’impatto sulla protezione dei dati e gestione rischio di informazioni

La prossima settimana approfondiremo ulteriormente gli aspetti pratici dell’ Audit GDPR

Audit with Magnifying Glass

Aggiornato www.clubdpo.com

 

Sono stati inseriti i seguenti aggiornamenti in www.clubdpo.com, il servizio on line di aggiornamento per i data protection officer e i consulenti privacy europea.
Scopri come abbonarti dal seguente link

1) GDPR Modello in MS Word istruzioni responsabili –
2) Cyber_security Video formazione – Cos’è la crittografia
3) GDPR Modello in MS Word Autorizzazione trattamento dati dipendenti –
4) Sentenza – possibilità di procedere anche senza il consenso dell’informato
5) GDPR 100 quesiti più ricorrenti in materia di GDPR
6) GDPR Quando procedere ad una DPIA ex art. 35 GDPR
7) Garante privacy Flotte aziendali, sistemi GPS con privacy incorporata
8) Garante privacy Trattamento dei dati raccolti attraverso un pop up –
9) Cyber_security Il protocollo https e il GDPR. Come essere a norma.
10) Cyber_security Check list cybersecurity per gli studi professionali

Pubblicato il business report – “Come realizzare un audit privacy e quale modulistica utilizzare”

home

Questo business report presenta le modalità operative per realizzare l’audit privacy.

I contenuti riguardano indicazioni operative per condurre l’audit in maniera corretta, sono inclusi quesiti di esempio da utilizzare e tre moduli operativi: modello di schema check list audit privacy, modello pianificazione audit privacy, modello di rapporto audit privacy.

Formato: pdf
18 pag. formato A5
In offerta a 29 euro i.e.

Estratto Business Report

Invio per email entro 2 ore se effettui il pagamento con carta di credito (entro 24 ore con pagamento mediante bonifico bancario).
paypal

Bonifico bancario – Importo Iva inclusa: 35,38 euro
IBAN IT54 Y070 7202 4060 2900 0604 344 – Emil Banca  intestato a Edirama di M. Rapparini – Una volta effettuato il bonifico inviare copia via email a ediramaweb@gmail.com