Archivi categoria: documenti

Alert_privacy – Le novità della settimana sulla privacy

Rispondi

Questa settimana ti segnaliamo queste novità accessibili agli abbonati ad Alert Privacy

Cassazione – Un’interessante sentenza della Cassazione relativa a una vertenza tra una banca e un dipendente che richiedeva l’accesso ai propri dati valutativi.
Come fare – Questa settimana ti spieghiamo come gestire i dati delle risorse umane: utili consigli operativi per evitare di commettere errori e ricevere sanzioni
Convegni – I convegni privacy dal 14 al 18 gennaio
Offerte di lavoro per consulenti e DPO – Le nuove opportunità professionali per consulenti e DPO
Documenti scaricabili – modello registro trattamenti del responsabile / sub-responsabili

 

Come abbonarsi ad  Alert Privacy

abbonamento_pay_pal
_ Con carta di credito su protocollo sicuro PayPal – Clicca qui
In qualsiasi momento puoi annullare il tuo abbonamento dal seguente link

Con Alert Privacy Europea ricevi ogni settimana (il venerdì pomeriggio)  nella tua email le novità  raccolte quotidianamente in rete:
_ articoli approfondimenti
_ convegni/corsi gratuiti
_ offerte di lavoro
_ rassegna stampa
_ social network
_ segnalazione novità editoriali (libri, ebook, software)

inerenti il nuovo Regolamento europeo 2016/679

e con un click accedi direttamente alla fonte . Senza perdere tempo in ricerche inutili!
In pochi click contenuti selezionati e aggiornati, risorse indispensabili per la tua vita professionale
Il servizio è disponibile al prezzo di 49 euro/mese.

Puoi iscriverti tramite carta di credito su protocollo sicuro Paypal e puoi cancellarti in qualsiasi momento con un semplice clic

Al termine delle 12 mensilità di abbonamento viene rilasciato l’attestato di iscrizione per dimostrare l’aggiornamento delle conoscenze professionali in ambito privacy europea.

Quali vantaggi per te
1) risparmi tempo per il tuo aggiornamento professionale
2) aggiornamento rapido
3) puoi annullare l’abbonamento in qualsiasi momento con un semplice click

La polizza assicurativa come soluzione ai rischi informatici

Rispondi

Il paracadute della polizza contro i danni causati dai cyber banditi. Questa la via prudente che uno studio di professionisti dovrebbe imboccare per migliorare ulteriormente il proprio livello di sicurezza dopo l’ingresso nell’era del Gdpr.
«I nuovi asset per i professionisti sono quelli immateriali e, se non tutelati adeguatamente, c’è il concreto rischio di chiudere l’attività», premette Vincenzo Aliotta, director di Aon, gruppo leader nella consulenza dei rischi e delle risorse umane, nell’intermediazione assicurativa e riassicurativa. In altre parole i provvedimenti generalmente presi per tutelare i dati dei terzi non sempre sono efficaci rispetto agli attacchi sferrati dagli hacker. «Per altro si pensa che i rischi maggiori siano quelli causati a terzi – continua Aliotta – sottovalutando quello che potrebbe accadere all’attività del professionista che spesso non acquista la copertura a tutela dei danni propri».

Leggi su

www.clubdpo.com

Privacy semplificata per le PMI

Rispondi

Il Garante ha predisposto un modello standard di registro per le PMI che sostituisce la notificazione (art 37 codice privacy abrogato dal D.lgs 101/18). Pubblicate anche le FAQ che trovate di seguito.
Sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Modello di “registro semplificato” delle attività di trattamento del titolare per PMI (ALLEGATO 1) 

 

Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI (ALLEGATO 2)

 

 

Link pagina del Garante

 

FAQ sul registro delle attività di trattamento

1. Cosa è il registro delle attività di trattamento?

 

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

 

E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, ilpunto 6).

 

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

 

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

 

 

 

2. Chi è tenuto a redigerlo? 

 

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

 

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

 

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

 

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

 

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

 

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

 

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

 

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

 

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

 

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

 

Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che,  fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

 

Si invita altresì a consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

 

 

 

3. Quali informazioni deve contenere? 

 

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).

 

Con riferimento ai contenuti si rappresenta quanto segue:

 

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;

 

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

 

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

 

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

 

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

 

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

 

 

 

4. Può contenere informazioni ulteriori?

 

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

 

 

 

5. Quali sono le modalità di conservazione e di aggiornamento?

 

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

 

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

 

“- scheda creata in data XY”

 

“- ultimo aggiornamento avvenuto in data XY”

 

 

 

6. Registro del responsabile

 

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

 

a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;

 

b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;

 

c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.

Il #GDPR non è sufficiente per mettere al sicuro l’azienda dalle problematiche di #sicurezza dei dati personali. Ecco cosa fare.

Rispondi

Autore: Dr. Matteo Rapparini – www.edirama.org

Sono trascorsi oramai alcuni mesi da quando il Reg UE 2016/679 è operativo. Chi ha effettuato tale aggiornamento in molti casi lo ha comunicato a clienti e fornitori (anche tu avrai ricevuto decine e decine di email che ti informavano dell’adeguamento dell’informativa al GDPR, della sicurezza dei tuoi dati personali), ma la gestione dei dati personali è stata effettivamente migliorata e resa più sicura?

A mio avviso, no. E in questo articolo ti spiego il perché e cosa c’è da fare per rendere davvero efficace e sicura la gestione dei dati personali.

L’introduzione del GDPR nelle aziende ha assicurato che le organizzazioni sappiano dove sono in possesso di dati personali e consentito di mettere in atto controlli sulle modalità di archiviazione, utilizzo e cancellazione di tali dati attraverso una politica che dovrebbe essere chiaramente definita e ben compresa, con processi aziendali adeguati per garantirne la conformità.

Tuttavia il GDPR non si occupa dell’effettiva sicurezza delle reti di un’organizzazione e dei dispositivi su cui esse memorizzano e accedono alle informazioni.

IL GDPR sostanzialmente non si occupa di sicurezza informatica, e spesso le aziende commettono un errore pensando che l’adempimento a questo regolamento sia sufficiente per evitare problemi di violazione dei dati personali gestiti.

Ma cosa significa “dati personali sicuri”?
A mio avviso, avere “dati sicuri” significa rispondere affermativamente a queste tre domande.

  • I nostri utenti non possono accedere ai nostri dati aziendali critici quando ne hanno bisogno, indipendentemente dalla loro posizione?
  • In secondo luogo, i nostri dati sono protetti da accessi non autorizzati o furti?
  • Infine, i nostri dati sono tutelati se qualcosa andrà storto, ad esempio se i nostri computer si guastassero?

La sicurezza dei dati richiede quattro discipline chiave:

  • gestione dell’identità e dell’autenticazione,
  • gestione del ciclo di vita delle informazioni,
  • sicurezza della rete e
  • pianificazione della continuità operativa.

Per sviluppare un’efficace politica di sicurezza dei dati, le organizzazioni devono considerare in modo olistico l’intera infrastruttura, dal modo in cui i dati vengono creati o acquisiti al modo in cui vengono valutati, archiviati, consultati e smaltiti. Ciò dovrebbe includere dati che entrano nell’organizzazione da clienti, partner e fornitori; dati creati all’interno dell’organizzazione, come presentazioni e rapporti; e dati che escono dall’organizzazione, come fatture e proposte commerciali.

Tuttavia, la chiave per la sicurezza dei dati sono le persone. Nessuna tecnologia o regolamentazione sarà efficace se tutti i dipendenti non si atterranno alle procedure di sicurezza dell’organizzazione. Ciò significa definire una chiara politica di sicurezza, educare i dipendenti a tutti i livelli (compresi i dirigenti) sui motivi per cui è importante ottenere il loro consenso e impegno. La politica deve essere applicabile, realistica, accettabile per gli utenti e non deve violare le leggi sulla privacy personale.

Attuare un’efficace politica di sicurezza significa anche ottenere l’impegno dei vari “proprietari” dei dati all’interno dell’organizzazione, che dovrebbero essere responsabili della loro gestione e della sicurezza una volta implementate le soluzioni di sicurezza.

Il raggiungimento di standard di sicurezza riconosciuti come la norma ISO27001 aiuta un’organizzazione a migliorare la propria sicurezza dati e rassicura i propri clienti su tale argomento. Ciò può essere vantaggioso anche per il suo futuro sviluppo e la sua crescita sul mercato dove il possedere una certificazione ISO 27001 è ad esempio un requisito indispensabile per partecipare a gare di appalto pubbliche.

Quali sono i suggerimenti per mantenere sicuri tutti i dati (compresi i dati personali) della vostra organizzazione? Ho riassunto 5 punti fondamentali

……………….. continua per gli abbonati al sito http://www.clubdpo.comVuoi sapere come abbonarti? Clicca qui

Pubblicato Kit privacy europea – versione azienda

Rispondi

kit_privacy_azienda

Kit privacy europea – vers. per singola azienda è lo strumento realizzato per rendere autonoma la piccola azienda nel realizzare gli adempimenti privacy richiesti dal Reg. Ue 2016/679.

Cosa deve fare la singola azienda per essere a norma con la privacy europea?

1) realizzare il check-up di autovalutazione conformità per evidenziare gli aspetti non conformi al Reg. Ue 2016/679.
Questa fase viene realizzata con il software Privacy compliance, in cui l’utente ottiene un dettagliato report con gli aspetti non conformi e i consigli operativi per essere a norma

2) individuare e catalogare i trattamenti dati realizzati in azienda.
Questa fase viene realizzata con il modello in MS Word del Registro dei trattamenti presente in Kit documentazione GDPR e per i casi più complessi con il software DPO Manager

3) realizzare la valutazione rischi impatti dei trattamenti
Questa fase viene realizzata con il software PIA – che guida anche l’utente non esperto nel realizzare tale adempimento previsto dall’art.35 del Reg. Ue 2016/679

4) aggiornare le informative e la modulistica
Questa fase viene realizzata con i modelli documentali già pronti e in formato MS Word disponibili in Kit documentazione GDPR

5) realizzare la formazione del Titolare trattamenti dati, Responsabile e incaricati trattamenti dati
Questa fase viene realizzata con il corso on line Esperto privacy europea(per il Titolare e il Responsabile trattamenti dati) e il corso on line Formazione privacy europea per incaricati trattamenti dati (max 5 utenti)

Il Kit viene fornito con una guida operativa che illustra passo per passocosa deve fare l’azienda per essere a norma con il Reg. Ue 2016/679 – privacy europea.

Kit privacy europea – vers. per singola azienda è costituito da:
Software Privacy compliance
Kit documentazione GDPR
Software DPO Manager
Software PIA
_ Corso on line Esperto privacy europea
_ Corso on line Formazione privacy europea per incaricati trattamenti dati (max 5) 
_ Guida all’implementazione autonoma della privacy europea in azienda

I software prevedono 1 licenza di installazione (si possono installare su 1 pc) – Richiedono sul pc la presenza di Windows XP, VISTA, 7,8,10 e versioni superiori – Assistenza erogata via web per 3 mesi.

Scopri l’offerta in corso

9 step per realizzare correttamente la mappatura dei trattamenti dati secondo il GDPR

Rispondi

Cattura

In questa tabella sono riportati i 9 passaggi da seguire per realizzare la corretta mappatura dei trattamenti dati in linea con il GDPR

INTEGRAZIONEKIT

  1. Categorie di dati personali ed  interessati  coinvolti
  2. Specificare tutti gli elementi inclusi nel trattamento per ciascuna categoria
  3. Fonte dei dati personali
  4. Scopo del trattamento dati personali
  5. Base giuridica per ciascun scopo
  6. Categorie speciali di dati personali
  7. Base giuridica per il trattamento di categorie speciali di dati personali
  8. Periodo di conservazione
  9. Azioni richieste per la conformità al GDPR

Data Protection Officer, vacilla la norma #privacy

Rispondi

Fino a 45mila esperti di protezione dei dati con il Regolamento UE 2016/679, ma norma UNI in cantiere da un anno e mezzo non soddisfa le aspettative per assicurare la necessaria trasparenza sul mercato, specialmente sul DPO.

************ GLI STRUMENTI PER GLI ESPERTI PRIVACY 2017 **********
_ Corso on line Esperto Privacy Regolamento europeo 679/2016
_ Kit software regolamento europeo 679/2016
****************************************************************

Uno dei principali obiettivi del nuovo Regolamento UE 2016/679, è quello di creare il giusto clima di fiducia tra i cittadini per far decollare il mercato digitale nell’Unione Europea, un’economia da 272 milioni di euro che può continuare a crescere solo se gli utenti si sentono a loro agio mentre fanno acquisti in Internet, senza doversi preoccupare che i loro dati personali potrebbero essere trattati illecitamente o utilizzati per commettere frodi a loro danno.

E se da una parte la nuova normativa comunitaria sulla privacy inizia a preoccupare le imprese, che si dovranno adeguare entro il 25 maggio 2018 per non rischiare multe fino a 20 milioni di euro o fino al 4% del fatturato annuo, sul fronte del mercato del lavoro ci sono invece prospettive positive, derivanti dalla crescente necessità di esperti della materia e dall’obbligo di nomina di un “data protection officer” per tutte le pubbliche amministrazioni e per le imprese che trattano su larga scala dati sensibili o altri dati che presentano rischi specifici, oppure se nelle attività principali vengono effettuati trattamenti che richiedono il controllo regolare e sistematico degli interessati, come avviene spesso nelle attività di e-commerce in cui gli utenti vengono profilati online per proporre loro prodotti e servizi in base ai loro gusti e alle loro preferenze.

Un contesto che, secondo le stime dell’Osservatorio di Federprivacy, nei prossimi 12 mesi potrà richiedere fino a 45mila esperti solo in Italia. Numeri importanti, quelli di un’emergente categoria professionale che necessiterebbe però di più trasparenza nel mercato con standard e parametri di riferimento che sono in cantiere da un anno e mezzo con una specifica norma UNI arrivata ora a conclusione del suo iter, ma i cui contenuti non convincono la principale associazione di riferimento del settore:

“Quello della norma tecnica sarebbe stato lo strumento ideale a disposizione degli stakeholder per definire i requisiti che devono possedere i professionisti della privacy per poter essere riconosciuti dal mercato, ovviamente a condizione imprescindibile che tali regole fossero allineate alle prescrizioni del Regolamento UE e alle recenti Linee Guida del Working Party Art.29, nelle quali è stato precisato che il data protection officer deve avere in particolare una conoscenza specialistica della normativa e delle prassi in materia, talvolta anche più elevata in base alla complessità o alla mole dei trattamenti effettuati – spiega il presidente di Federprivacy, Nicola Bernardi – Da parte nostra, abbiamo segnalato in tutte le sedi la necessità di disegnare un profilo adeguato del DPO, ma ora dobbiamo con rammarico constatare che il progetto finale di norma vede un profilo professionale stravolto rispetto ai dettati dell’UE, generico per quanto riguarda le conoscenze giuridiche della normativa, e con molte altre conoscenze invece informatiche, riconducibili più a quelle di un security manager che a quelle richieste a un data protection officer. Allo stato attuale – conclude Bernardi – questa norma non risponde ne’ alle prescrizioni di legge, ne’ alle esigenze di mercato, e per questo rischia di essere solo fuorviante per le imprese che sono alla ricerca del professionista giusto a cui conferire l’incarico.”

Il documento in questione, (Cod. Progetto E14D00036), è stato messo ora all’inchiesta pubblica finale, e tutte le parti interessate possono esprimere i loro commenti fino al 25 marzo 2017, quando UNI tirerà le somme per verificare se ci siano i presupposti perché la norma sul data protection officer possa venire alla luce oppure no.

Certo è, che per spingere sul mercato digitale l’Unione Europea ha varato una riforma sulla protezione dei dati personali egualmente vigente in tutti gli Stati membri, e altrettanto evidente è che la norma così com’è allo stato attuale devia da quella direzione, e rischia di far mancare alle imprese le giuste professionalità, con il pericolo di ingenerare confusione nel mercato delle professioni.

Imprese e pubbliche amministrazioni, devono perciò vigilare attentamente per non incorrere in pesanti sanzioni, perché è in gioco la loro organizzazione e la capacità di rispettare la normativa sulla circolazione e protezione dei dati, senza dimenticare infine che è indispensabile evitare di offuscare i diritti fondamentali che sono riconosciuti per legge ai cittadini.

Comunicato Stampa Federprivacy del 26 gennaio 2017

La scuola a prova di privacy – guida gratuita del Garante Privacy

Rispondi

La scuola a prova di privacy”, la nuova guida del Garante per la protezione dei dati personali. L’obiettivo è quello di aiutare  studenti, famiglie, professori e la stessa amministrazione scolastica a muoversi agevolmente nel mondo della protezione dei dati.

******* SOFTWARE PRIVACY NUOVO REGOLAMENTO EUROPEO 2016/679 *********
I nuovi software per realizzare la compliance, analisi rischi trattamenti e tracciabilità trattamenti dati – In offerta speciale 
**************************************************************************

Vademecum “La scuola a prova di privacy” pagina singola.pdf (3555 k)

Vademecum “La scuola a prova di privacy” pagina doppia (anno 2016).pdf (3576 k)