Archivi categoria: audit

FAQ DPO- Come occorre svolgere l’audit a un anno di applicazione del GDPR?


Dr. Matteo Rapparini – CEO Edirama – www.edirama.org

L’audit realizzato dal DPO è una nuova attività che in azienda può spaventare o almeno essere considerata dai responsabili di funzione e dai dipendenti, un’azione “intrusiva” che può andare a valutare il proprio operato in ambito privacy.

E’ quindi importante che quest’anno gli audit del DPO, di verifica e di controllo inerenti il GDPR, siano accomunati dal criterio di non dare pagelle e votazioni alle funzioni coinvolte nel trattamento dei dati personali, ma siano invece guidati da un obiettivo diverso: ovvero verificare lo stato delle cose inerenti la privacy per poi definire successive evoluzioni e interventi.

Sostanzialmente quest’anno gli audit del DPO dovranno aiutare le funzioni aziendali a prendere coscienza di cosa veramente sono tenute a fare ogni giorno per rispettare le prescrizioni privacy aziendali.

Vediamo come fare nella pratica – I 6 step da seguire

Continua su www.clubdpo.com

Pubblicato il corso on line Esperto Audit Privacy

Obiettivi del corso

Il corso fornisce conoscenze e metodologie sulle modalità di conduzione degli audit in tema privacy e GDPR (Reg Ue 2016/679).

Contenuti

1) Come si realizza l’audit privacy

2) Come si realizza l’audit GDPR Reg Ue 2016/679

3) Come realizzare l’audit secondo la norma ISO 19011

4) Simulazione – Cosa fare in caso di un’ispezione del Garante privacy/Guardia di finanza

Durata

Per la consultazione e l’apprendimento sono richieste c.a. 8 ore

Attestato Al termine del corso on line viene rilasciato l’attestato Esperto Audit interno Privacy e l’iscrizione nell’elenco Esperti Audit Privacy di Edirama

Al termine del corso i partecipanti saranno in grado di condurre in piena autonomia audit Privacy secondo il Reg. Ue 2016/679 e la ISO 19011 .

Docente Dr. Matteo Rapparini – docente/consulente privacy GDPR autore di guide, software e corsi on line sulla privacy, Reg. Ue 2016/679, editore di http://www.consulenzaprivacy.org, http://www.edirama.org Maggiori informazioni

E dopo l’approvazione del D.lgs @101/18, al via le #ispezioni #privacy. Ecco cosa sarà verificato!

Dal 19 di settembre, data di entrata in vigore del D.lgs 101/18, le ispezioni del Garante privacy e del Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza diventano operative.

I controlli verteranno sul rispetto degli obblighi di informativa, sull’acquisizione del consenso nei casi previsti, sul periodo di conservazione dei dati e sulle misure di sicurezza per la loro protezione, e terranno conto, in particolare, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d’impatto e di designazione del Responsabile della protezione dei dati.

Audit Word Meaning Validating Auditing Or Scrutiny

L’attività ispettiva riguarderà anche, come di prassi, le istruttorie avviate sulla base di segnalazioni o reclami presentati dai cittadini, con particolare attenzione alle violazioni più gravi.

Le sanzioni di tipo amministrativo possono arrivare al 4% del fatturato annuale dell’azienda.

Su www.clubdpo.com abbiamo pubblicato un articolo su come comportarsi in caso di ispezione privacy – riservato agli abbonati

 

L’approccio corretto all’#audit #privacy #GDPR – parte 4 – Individuare le modalità di archiviazione dei dati

Dove stiamo archiviando i dati?

Questa è la quarta domanda da farsi durante un audit privacy.

****************************************

CORSO ON LINE ESPERTO AUDIT PRIVACY

**************************************

Il GDPR richiede di documentare dove si conservano i dati personali dei cittadini dell’UE. Ai fini di questa verifica, “dove” si riferisce sia a una posizione geografica sia a quale tipo di meccanismo (modalità/supporto) si sta utilizzando per archiviarli, indipendentemente dal fatto che si tratti di e-mail, documenti, database, backup, elenchi di e-mail, ecc.

Quindi, dopo aver mappato dove sono raccolte le informazioni e cosa viene raccolti, occorre capire dove il tutto viene memorizzato.

Ad esempio un avviso del genere su un form di raccolta dati può apparire eccessivo, ma è  corretto ai fini della compliance al GDPR

“Questo modulo  registra gli indirizzi e-mail in un database memorizzato su un server nel nostro ufficio di Milano.”

Domande utili di approfondimento

Dove sono archiviati i dati?

Viene realizzato  il backup?

Sono utilizzate applicazioni cloud?

Hai un regolare contratto con il tuo provider dei servizi di archiviazione?

Il tuo provider dei servizi di archiviazione dispone di un adeguato sistema di sicurezza e protezione dati?

Chi ha accesso ai dati?

L’approccio corretto all’#audit #privacy #GDPR – parte 3 – Individuare le tipolige di dati trattati dall’azienda

****************************************

CORSO ON LINE ESPERTO AUDIT PRIVACY

*************************************

Autore: Dr. Matteo Rapparini

In questo contributo analizziamo il primo step di audit GDPR, ovvero la definizione corretta della tipologia di dati personali che l’azienda tratta. La domanda a cui dobbiamo rispondere è la seguente: quali sono i dati personali che stiamo raccogliendo? La risposta è importante perchè da essa dipendono i controlli e le verifiche da effettuare.

L’art. 4 comma 1 del GDPR definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Esistono due categorie di dati personali. La prima riguarda tutto ciò che può essere usato per identificare un individuo:

nome

indirizzo

Indirizzo email

Indirizzo IP

Cookies

Numero di telefono

Numero di previdenza sociale

Numeri di identificazione

La seconda categoria è inerente le informazioni personali (speciali), che riguardano:

Origini razziale o etnica

Informazioni sanitarie

Opinioni politiche

Credenze religiose

Attività dell’Unione

Identità sessuale o di genere.

****************************************

CORSO ON LINE ESPERTO AUDIT PRIVACY

*************************************

Il GDPR vieta di trattare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (rif. Art. 9 Reg. UE 2016/679).

Vi sono però delle eccezioni previste dalla normativa, indicati nel secondo paragrafo dell’ Art. 9)

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

=> Articolo: 22

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

=> Articolo: 22

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Se sono trattati dati personali di bambini di età inferiore ai 16 anni è necessario verificare la presenza del consenso dei genitori.

L’approccio corretto all’#audit #privacy #GDPR – parte 2 – Le domande iniziali…

****************************************

CORSO ON LINE ESPERTO AUDIT PRIVACY

*************************************

Continuiamo il percorso sull’approccio corretto all’audit privacy GDPR e protezione dati. In questo contributo vi forniamo alcune domande di base per iniziare l’attività di audit.

  1. Quali sono i dati che si trattano?
  2. Perchè sono utilizzati questi dati?
  3. Come sono stati e come vengono raccolti questi dati?
  4. Cosa fa l’organizzazione con questi dati?
  5. Come vengono archiviati i dati personali?
  6. Quali misure di sicurezza sono adottate?
  7. Chi gestisce questi dati?
  8. Chi “controlla” i dati personali utilizzati dall’organizzazione?
  9. Per quanto tempo sono conservati?
  10. Qual’è la procedure di cancellazione dei dati personali?

Audit with Magnifying Glass

L’approccio corretto all’audit GDPR – parte 1

L’obiettivo dell’audit GDPR è di verificare, una volta che sono stati implementati tutti gli adempimenti previsti dalla norma e necessari per rendere l’azienda compliance, che il “sistema privacy europeo” sia coerente, efficace ed efficiente.

****************************************

CORSO ON LINE ESPERTO AUDIT PRIVACY

*************************************

La periodicità richiesta per svolgere l’audit GDPR varia in funzione della complessità aziendale e della protezione dei dati. In genere è consigliabile ogni 6 mesi  verificare come il “sistema privacy europeo” stia funzionando in azienda. Vediamo i primi passi da svolgere.

  1. Occorre fissare una data per la riunione tra il Top Management  (o la direzione aziendale nelle realtà più piccole), il Titolare e il/i Responsabili trattamenti dati
  2. E’ consigliabile redigere una lettera di convocazione inviata per email
  3. E’ necessario definire lo scopo dell’audit GDPR che si andrà a pianificare e a realizzare.
  4. Occorre definire con precisione per la protezione dei dati personali e la compliance al Reg. Ue 2016/679, i rischi correnti noti, eventuali problemi di protezione dati, problematiche aziendali che possono influire sul livello di conformità al Reg. Ue 2016/679 e sulla protezione dei dati trattati.
  5. Le aree interessate all’audit GDPR – protezione dati possono essere ad esempio:

     governance e responsabilità della protezione dei dati;

     formazione e consapevolezza della protezione dei dati del personale;

     sicurezza dei dati personali;

     richieste di dati personali e portabilità dei dati;

     attività marketing diretto;

     condivisione delle informazioni;

     gestione delle regostrazioni;

     Valutazioni dell’impatto sulla protezione dei dati e gestione rischio di informazioni

La prossima settimana approfondiremo ulteriormente gli aspetti pratici dell’ Audit GDPR

Audit with Magnifying Glass