Archivi categoria: clubdpo

Lavoro, vanno protetti i dati degli iscritti ai sindacati

club

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili  – ha osservato  l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro  può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo  o inibitorio.

L’Autorità  si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

Clubdpo.com – Nuova opportunità professionale per i DPO

Pubblicato nell’area Offerte di lavoro per DPO il link a un nuovo bando di affidamento incarico Data Protection Officer in Comune Reg. Campania – http://www.clubdpo.com

E’ disponibile agli abbonati di http://www.clubdpo.com  ( Per informazioni sull’abbonamento clicca qui)

Il #GDPR non è sufficiente per mettere al sicuro l’azienda dalle problematiche di #sicurezza dei dati personali. Ecco cosa fare.

Autore: Dr. Matteo Rapparini – www.edirama.org

Sono trascorsi oramai alcuni mesi da quando il Reg UE 2016/679 è operativo. Chi ha effettuato tale aggiornamento in molti casi lo ha comunicato a clienti e fornitori (anche tu avrai ricevuto decine e decine di email che ti informavano dell’adeguamento dell’informativa al GDPR, della sicurezza dei tuoi dati personali), ma la gestione dei dati personali è stata effettivamente migliorata e resa più sicura?

A mio avviso, no. E in questo articolo ti spiego il perché e cosa c’è da fare per rendere davvero efficace e sicura la gestione dei dati personali.

L’introduzione del GDPR nelle aziende ha assicurato che le organizzazioni sappiano dove sono in possesso di dati personali e consentito di mettere in atto controlli sulle modalità di archiviazione, utilizzo e cancellazione di tali dati attraverso una politica che dovrebbe essere chiaramente definita e ben compresa, con processi aziendali adeguati per garantirne la conformità.

Tuttavia il GDPR non si occupa dell’effettiva sicurezza delle reti di un’organizzazione e dei dispositivi su cui esse memorizzano e accedono alle informazioni.

IL GDPR sostanzialmente non si occupa di sicurezza informatica, e spesso le aziende commettono un errore pensando che l’adempimento a questo regolamento sia sufficiente per evitare problemi di violazione dei dati personali gestiti.

Ma cosa significa “dati personali sicuri”?
A mio avviso, avere “dati sicuri” significa rispondere affermativamente a queste tre domande.

  • I nostri utenti non possono accedere ai nostri dati aziendali critici quando ne hanno bisogno, indipendentemente dalla loro posizione?
  • In secondo luogo, i nostri dati sono protetti da accessi non autorizzati o furti?
  • Infine, i nostri dati sono tutelati se qualcosa andrà storto, ad esempio se i nostri computer si guastassero?

La sicurezza dei dati richiede quattro discipline chiave:

  • gestione dell’identità e dell’autenticazione,
  • gestione del ciclo di vita delle informazioni,
  • sicurezza della rete e
  • pianificazione della continuità operativa.

Per sviluppare un’efficace politica di sicurezza dei dati, le organizzazioni devono considerare in modo olistico l’intera infrastruttura, dal modo in cui i dati vengono creati o acquisiti al modo in cui vengono valutati, archiviati, consultati e smaltiti. Ciò dovrebbe includere dati che entrano nell’organizzazione da clienti, partner e fornitori; dati creati all’interno dell’organizzazione, come presentazioni e rapporti; e dati che escono dall’organizzazione, come fatture e proposte commerciali.

Tuttavia, la chiave per la sicurezza dei dati sono le persone. Nessuna tecnologia o regolamentazione sarà efficace se tutti i dipendenti non si atterranno alle procedure di sicurezza dell’organizzazione. Ciò significa definire una chiara politica di sicurezza, educare i dipendenti a tutti i livelli (compresi i dirigenti) sui motivi per cui è importante ottenere il loro consenso e impegno. La politica deve essere applicabile, realistica, accettabile per gli utenti e non deve violare le leggi sulla privacy personale.

Attuare un’efficace politica di sicurezza significa anche ottenere l’impegno dei vari “proprietari” dei dati all’interno dell’organizzazione, che dovrebbero essere responsabili della loro gestione e della sicurezza una volta implementate le soluzioni di sicurezza.

Il raggiungimento di standard di sicurezza riconosciuti come la norma ISO27001 aiuta un’organizzazione a migliorare la propria sicurezza dati e rassicura i propri clienti su tale argomento. Ciò può essere vantaggioso anche per il suo futuro sviluppo e la sua crescita sul mercato dove il possedere una certificazione ISO 27001 è ad esempio un requisito indispensabile per partecipare a gare di appalto pubbliche.

Quali sono i suggerimenti per mantenere sicuri tutti i dati (compresi i dati personali) della vostra organizzazione? Ho riassunto 5 punti fondamentali

……………….. continua per gli abbonati al sito http://www.clubdpo.comVuoi sapere come abbonarti? Clicca qui

Privacy, su multe e ispezioni il Governo va incontro alle aziende

Il GDPR, il regolamento per il rispetto della privacy, in versione italiana dà un po’ di respiro alle aziende, che ora sono molto in affanno nel cercare di rispettare le nuove regole europee sulla privacy. Il Governo infatti ha deciso per un periodo di grazia delle attività di ispezione del Garante e possibili esenzioni per le PMI.

Ci sono queste tra le novità che si leggono nel testo che il Consiglio dei Ministri ha approvato e pronto per l’approvazione. Si tratta del decreto di adeguamento della normativa italiana al Regolamento privacy noto appunto come GDPR. Le regole europee sono scattate in Italia, come nel resto della Ue, il 26 maggio ma si aspettava un decreto italiano che le “personalizzasse” per la nostra situazione. Il testo non è ancora pubblico, ma a quanto risulta vi si legge tra l’altro un periodo di “grazia “ di 8 mesi per la piena applicazione dell’attività ispettiva del garante privacy. Inoltre, le piccole e medie imprese potranno essere oggetto di provvedimenti di esenzione del Garante Privacy.

Continua su www.clupdpo.com

Privacy, sospese le ispezioni a imprese e P.a. per 8 mesi

Ingresso soft nella privacy europea. Prevista gradualità dell’attività ispettiva sull’adeguamento delle imprese e delle p.a. al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018. A stabilirlo è lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato ieri dal Consiglio dei ministri in via definitiva. Ci dovrebbe essere, secondo il testo in entrata, un periodo, che dovrebbe essere di otto mesi, per l’attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali. D’altra parte in questa direzione convergevano sia le indicazioni dei pareri delle commissioni parlamentari (si vedano i documenti dell’atto non legislativo n. 22 di Camera e Senato), sia alcuni indirizzi espressi da Antonello Soro, presidente dell’Autorità Garante, nella sua relazione al Parlamento per l’anno 2017. La gradualità dell’attività ispettiva è stata anche indicata come strada da seguire da un provvedimento dello stesso Garante della privacy del 22 febbraio 2018, e ora l’impostazione più ragionevole pare avere trovato l’avallo in sede di legislazione delegata.

Fonte: Italia Oggi

Aggiornato www.clubdpo.com

 

Sono stati inseriti i seguenti aggiornamenti in www.clubdpo.com, il servizio on line di aggiornamento per i data protection officer e i consulenti privacy europea.
Scopri come abbonarti dal seguente link

1) GDPR Modello in MS Word istruzioni responsabili –
2) Cyber_security Video formazione – Cos’è la crittografia
3) GDPR Modello in MS Word Autorizzazione trattamento dati dipendenti –
4) Sentenza – possibilità di procedere anche senza il consenso dell’informato
5) GDPR 100 quesiti più ricorrenti in materia di GDPR
6) GDPR Quando procedere ad una DPIA ex art. 35 GDPR
7) Garante privacy Flotte aziendali, sistemi GPS con privacy incorporata
8) Garante privacy Trattamento dei dati raccolti attraverso un pop up –
9) Cyber_security Il protocollo https e il GDPR. Come essere a norma.
10) Cyber_security Check list cybersecurity per gli studi professionali

Ultime novità #privacy europea

Il servizio delle novità sulla privacy europea – Rassegna stampa – disponibile su www.clubdpo.com è stato aggiornato con le seguenti novità

  • Droni: regolamento Enac e normativa post Gdpr, in Italia ed Europa
  • Come adeguare il proprio sito web al nuovo regolamento GDPR
  • Il GDPR non si applica alle persone giuridiche (quasi mai): ecco le conseguenze
  • GDPR, cosa cambia per il medico di famiglia: i nodi della privacy
  • Facebook, la privacy costa cara. Ecco perché sta crollando in Borsa
  • Cyber_security Studio su violazioni dati e data breach: ecco quanto ci costano
  • Privacy e consulenti del lavoro, titolari del trattamento e non obbligatoriamente responsabili esterni
  • Formazione nuovo regolamento privacy: obbligo per dirigenti, DSGA e vicari. Entro il 28 novembre
  • Registro dei trattamenti per la privacy (GDPR), come farlo e i vantaggi k
  • Regolamento Privacy: il DPO è direttamente responsabile in caso di inosservanza del GDPR?