Archivi categoria: regolamento europeo privacy

App IO: approfondimento sulla privacy e conservazione dei dati personali

Rispondi
corso_agg_dpo

PagoPA S.p.A. opera nella ferma convinzione che la privacy dei cittadini sia un valore irrinunciabile e un elemento essenziale della digitalizzazione della Pubblica Amministrazione. Proprio per questo, tutti i nostri progetti sono attentamente verificati dal nostro team di esperti privacy. Tra questi, anche l’App IO è stata analizzata nei minimi dettagli per assicurare il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR) ai propri utenti.

modlelo_rel_ann_DPO

Per quanto riguarda il programma Cashback, il decreto del Ministero dell’economia e delle finanze (DM n.156/2020), su cui il Garante per la protezione dei dati personali ha espresso il proprio parere positivo, ha disciplinato nel dettaglio le modalità di trattamento dei dati raccolti tramite il programma. Inoltre, il Garante ha approvato la valutazione di impatto (DPIA) che è stata predisposta dal Ministero dell’Economia e delle Finanze, in quanto titolare del programma, con la collaborazione di PagoPA S.p.A., e che descrive tutti i flussi e trattamenti che quest’ultima svolge per conto del Ministero stesso.

Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente, ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN”) che corrisponde allo strumento di pagamento registrato ai fini del programma; data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback.

Il sistema alla base dell’App IO non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione “Portafoglio”: questi, infatti, vengono memorizzati dal fornitore SIA S.p.A. in un ambiente protetto secondo gli standard PCI DSS (Payment Card Industry Data Security Standard) e conservati in server situati in Italia.

Il sistema alla base dell’App IO, quindi, non trasferisce all’estero i dati relativi agli strumenti di pagamento aggiunti nella sezione “Portafoglio” (es. i dati delle carte di credito/debito). Allo stesso modo, i server dove vengono memorizzati i dati personali degli utenti (quali, ad esempio, il codice fiscale, l’email, le informazioni contenute nella sezione “Messaggi”) sono situati all’interno dell’Unione Europea dove è applicato il Regolamento generale sulla protezione dei dati personali (GDPR) e, quindi, le stesse tutele applicabili in Italia.

Utilizziamo alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App. Inoltre, in alcuni casi residuali, potremmo utilizzare uno strumento di comunicazione interna aziendale che di norma, ovviamente, non tratta dati riferiti agli utenti dell’App IO ma che opera in supporto della divisione di PagoPA S.p.A. responsabile del customer care per accelerare eventuali interventi. Infine, utilizziamo i sistemi di Google per inviare notifiche push ai cittadini che, accedendo all’app IO da dispositivi Android, non sarebbero diversamente raggiungibili. Google riceve dati personali di tali utenti esclusivamente nel caso di notifiche non generiche, ma contenenti informazioni relative agli stessi: nello specifico del programma Cashback, non sono previste notifiche push che contengano dati personali.

Con tutti i predetti fornitori, abbiamo stipulato una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, con cui tali fornitori hanno accettato di trattare i dati esclusivamente al fine di svolgere il servizio che ci rendono precludendo agli stessi, pertanto, un qualsivoglia utilizzo per altre finalità o per fini loro propri.

A seguito della sentenza della Corte di Giustizia dell’Unione Europea che ha invalidato il c.d. Privacy Shield ci siamo adoperati per garantire che tutti i trasferimenti verso società stabilite negli Stati Uniti siano coperti dalle Clausole contrattuali tipo della Commissione Europea (SCC), che costituiscono uno degli strumenti ammessi dal GDPR, (v. art. 46). Con alcuni di essi, inoltre, abbiamo rinforzato le SCC con specifiche ed ulteriori previsioni, in attesa di poter adottare il nuovo testo delle SCC, attualmente in fase di consultazione pubblica.

Nell’ottica di una piena trasparenza, in linea con tutte le attività che contraddistinguono il lavoro del team responsabile dell’App IO e grazie al feedback degli utenti, abbiamo deciso di rendere ancora più dettagliata l’informativa dell’App IO includendo la lista aggiornata dei nostri fornitori (disponibile a questo link) con le informazioni di base rispetto ai dati trattati dai loro servizi e di cui l’App IO si serve per la sua operatività. Come si evince da questa lista, quando possibile prediligiamo società situate in Italia e in UE e, laddove disponibili, selezioniamo opzioni che consentono di mantenere i dati in UE.

Infine, ricordiamo che IO si basa sul concetto di sviluppo collaborativo che deve coinvolgere tutti i soggetti direttamente o indirettamente attivi nel processo di digitalizzazione. Per questo rinnoviamo ed estendiamo anche ai lettori di questo comunicato l’invito a contribuire e a segnalarci qualunque proposta migliorativa per rendere IO sempre più sicura e rispettosa della privacy dei cittadini.

Privacy, a sei mesi dal Gdpr la situazione si sta assestando

Rispondi

Il peggio sembra essere passato, anche se rimangono aperti alcuni problemi come la costante formazione che deve essere erogata alle molte funzioni che, volenti o nolenti, debbono interloquire con il responsabile aziendale della protezione dei dati personali, o Data protection officer (Dpo).

Continua su www.clubdpo.com

Pubblicato il nuovo software ISPEZIONE GDPR

Rispondi

E’ disponibile il nuovo software per evitare le sanzioni previste dalla vigente normativa sulla privacy europea (Reg Ue 2016/679 e D.lgs 101/18).

modulo

Software ISPEZIONE GDPR è lo strumento per evitare le sanzioni previste dalla normativa sulla privacy europea, simulando una ispezione degli organi di controllo.

Il software consente di simulare un’ispezione della Guardia di Finanza o del Garante privacy relativamente alla conformità al Reg. Ue 2016/679 e D.lgs 101/2018.

Il software permette (guidando l’utente nel rispondere a 77 specifici quesiti) di individuare gli aspetti sanzionabili e consente di correggerli per evitare le pesanti sanzioni previste (fino al 4% del fatturato mondiale annuo).

Software ISPEZIONE GDPR lavora su un algoritmo e una bancadati proprietaria che copre tutti gli aspetti ispettivi indicati dal Garante privacy e dalla Guardia di Finanza. La bancadati quesiti ispettivi è personalizzabile dall’utente, e quindi può essere aggiornata in qualsiasi momento.

Requisiti – Sistema operativo: Windows – licenza per 2 pc – 12 mesi di aggiornamento e assistenza
Numero di aziende gestibili: illimitato

CLICCA QUI PER ACCEDERE ALLA VIDEO DEMO E AL PDF DI PRESENTAZIONE

ispezgdpr_immagini

 

 

Pubblicato il Decreto di recepimento Reg.Ue 2016/679

Rispondi

Procedure semplificate per le PMI e otto mesi di tolleranza nell’applicare le sanzioni. Sono queste le due notizie positive che emergono dal  Decreto n. 101/2018 di recepimento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo. Il nuovo provvedimento pubblicato nella Gazzetta Ufficiale n. 205, entrerà in vigore il prossimo 19 settembre.

Due punti interessanti

  1. Il novellato art. 154 bis del Codice della privacy prevede che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento delle PMI
  2. Tra le disposizioni transitorie e finali, contenute all’art. 22 del nuovo Decreto di adeguamento, è invece previsto che “per i primi otto mesi dalla data di entrata in vigore (19 settembre, ndr), il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative (…), della fase di prima applicazione delle disposizioni sanzionatorie”.

Puoi scaricare il Decreto recepimento Reg Ue 2016/679 dal seguente link

 

Nuove FAQ Privacy europea

Rispondi

Clubdpo.com e Faq privacy europea sono stati aggiornati con i seguenti quesiti risolti:

1) Un mio cliente mi ha conferito un incarico professionale che prevede un trattamento dati personali indiretto, nel senso che l’incarico riguarda suoi clienti. Come mi devo regolare con la privacy?

2) Quali sono gli obblighi privacy per un agente rappresentante?

3) Come deve essere considerato l’RSPP esterno ai sensi della privacy europea?

Perché il 25 maggio 2018 è solo l’inizio e non la fine del GDPR!

Rispondi

Oggi 25 maggio 2018, il regolamento generale sulla protezione dei dati dell’UE (GDPR) entra in vigore.

Questa data rappresenta solo l’inizio di un lungo viaggio di conformità per la maggior parte di aziende ed enti.. La consapevolezza del regolamento è certamente aumentata, ma non abbastanza da permettere alle organizzazioni di sapere cosa stanno facendo. Troppi ancora ritengono erroneamente che investire in poche e accattivanti tecnologie di sicurezza sia sufficiente. Credono che le multe saranno qualcosa che accadrà ad altre aziende, non alla propria.

Si sitma che potrebbero volerci fino a cinque anni prima di vedere alti e diffusi livelli di conformità al Reg. Ue 2016/679. Fino ad allora, per molti potrebbe essere una via cruscis se non si concentreranno in questo momento sulla documentazione e sui processi.

C’è ancora un’idea molto diffusa in molti cda che le violazioni e le relative multe possibili, non influenzeranno la propria organizzazione.

Un rapporto afferma che il 38% dei responsabili  IT ritiene che la propria organizzazione non abbia considerato prioritaria la conformità al GDPR entro la scadenza. Per certi aspetti è atteggiamento sconcertante se consideriamo gli alti interessi in gioco: dopo tutto, una multa del 4% del fatturato annuale globale è sufficiente per cacciare  qualsiasi amministratore delegato.
In realtà l’atteggiamento molto diffuso è che si spera in un approccio soft del Garante Privacy, vedi anche le false notizie dele ultime settimane in cui si mormorava la moratoria per 6 mesi delle sanzioni (voci immediatamente smentite dal Garante stesso).

Le previsioni dicono che i Garanti europei cominceranno molto seriamente l’attività di vigilanza, controllo e sanzionatoria, e questo spingerà ulteriormente le aziende meno virtuose a finanziare progetti completi di compliance al Reg. ue 2016/679.
In questa rincorsa si potranno verificare delle lacune nella realizzazione degli adempimenti dettate dalla fretta e dalla difficoltà di assicurarsi validi consulenti.
E queste lacune faranno sì che le organizzazioni rimarranno esposte al rischio di violazioni e di controlli del Garante.

In realtà la conformità al GDPR e il suo mantenimento costituisce un processo dinamico, di migliroamento continuo supportato dalla tecnologia.

Le aziende quando saranno consapevoli di ciò, dovranno capire:

Dove sono archiviate le informazioni personali identificabili (PII) dei clienti / dipendenti
Le dinamiche dei flussi di dati all’interno e all’esterno dell’organizzazione
Quali dati devono essere eliminati in modo permanente in base al principio della minimizzazione
Dove i dati devono essere conservati e criptati o pseudonimizzati , forse per soddisfare altri requisiti normativi come quelli sanitari.

Le aziende di medie dimensioni sono probabilmente quelle peggio preparate alla scadenza del 25 maggio grazie alla confusione dei cda sul GDPR e alle risorse limitate.
Le aziende più grandi hanno ulteriori  sfide, ad esempio la gestione della documentazione necessaria per conformarsi.

I Data protection officer (DPO), imposti dal regolamento a molte aziende, contribuiranno al processo fintanto che non saranno emarginati all’interno dell’organizzazione. I responsabili della privacy sono stati tradizionalmente considerati da molte aziende come un freno all’innovazione piuttosto che un fattore di crescita.

La conformità non è una destinazione, è un continuo processo di miglioramento.

Come aggiornare il sito Web al GDPR

Una delle attività necessarie nel processo di applicazione del Reg. Ue 2016/679 (GDPR) è quella di aggiornare il sito web della propria attività.

Quali sono alcuni degli aspetti da considerare? Vediamoli insieme.

*******************NUOVO SOFTWARE AUDIT WEB GDPR ***************************

home

Audit WEB GDPR è il nuovo software che consente di verificare rapidamente la conformità al regolamento europeo privacy 2016/679 dei siti web e se sono o meno sanzionabili.
Il software permette di verificare la struttura del sito e le modalità di gestione dati raccolti tramite il web . L’utente può personalizzare e aggiungere nuovi punti di verifica.
L’utente rispondendo a 17 quesiti (SI/NO)in pochi secondi ottiene un report con indicato:
_ il livello di conformità al regolamento europeo privacy e se o meno sanzionabile
_ i consigli operativi per mettere a norma la gestione dei dati del sito web

report2

****************************************************************************

E’ presente il  modulo di contatto?
Assicurati di aggiungere una casella di controllo che richieda specificatamente all’utente  se acconsente a memorizzare e utilizzare le sue informazioni personali per essere contattato. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.

I visitatori possono lasciare commenti sul  sito web?
Assicurati di aggiungere una casella di controllo che richieda specificamente all’utentei se acconsente a memorizzare il suo messaggio allegato all’indirizzo e-mail che hanno usato per commentare. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.


C’è un modulo d’ordine sul tuo sito web ?
Assicurati di aggiungere una casella di controllo che richieda specificatamente all’utente  se acconsente a memorizzare e utilizzare le sue informazioni personali per inviare l’ordine. Questo non può essere la stessa casella di controllo della policy sulla privacy che dovresti già avere. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.

E’ presente un forum o una bacheca?
Assicurati di aggiungere una casella di controllo che richieda specificamente agli utenti di forum / forum se acconsentono alla memorizzazione e all’utilizzo delle loro informazioni e messaggi personali. La casella di controllo deve essere deselezionata per impostazione predefinita. Indica anche se invierai o condividi i dati con terze parti e quali.

I visitatori possono chattare direttamente con la tua azienda?
Assicurati di aggiungere una casella di controllo che richieda specificamente agli utenti di chat se acconsentono alla memorizzazione e all’utilizzo delle loro informazioni e messaggi personali. La casella di controllo deve essere deselezionata per impostazione predefinita. Ti consigliamo inoltre di menzionare per quanto tempo conserverai i messaggi di chat o li cancellerai tutti entro 24 ore. Indica anche se invierai o condividi i dati con terze parti e quali.

GDPR – 5 punti essenziali da rispettare entro il 25 maggio

Rispondi

Tra 17 giorni scade il termine per essere a norma con il Reg. Ue 2016/679. Ecco un elenco minimo delle cose da fare.

1. Il primo adempimento importante è il registro dei trattamenti previsto dall’art. 30 del Regolamento. Sono esonerate le organizzazioni e le imprese con meno di 250 dipendenti, ma solo se non svolgono i trattamenti critici elencati al paragrafo 5 . E’ consigliabile prevedere il registro dei trattamenti a prescindere dall’obbligo dell’art. 30.
2. Il secondo adempimento “obbligatorio” è la valutazione di impatto dei trattamenti previsto dall’art. 35.
La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; ,
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il nostro Garante non ha ancora reso pubblici “l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati” . Ciò ha creato una situazione di incertezza molto diffusa

3. Il terzo step “obbligatorio” è la predisposizione delle informative (art. 12 ) e del consenso dell’interessato (art. 7).

4. Un altro adempimento che è consigliabile compiere entro il 25 maggio è la nomina del Responsabile della protezione dei dati (RPD o DPO, Data Protection Officer), nei casi in cui è prevista (art. 37 e seguenti).
Del DPO si è parlato molto e molti hanno improvvisato corsi e improbabili “certificazioni” – -> I chiarimenti del Garante sulla Norma UNI che “certifica” i DPO.

5. La sicurezza di ogni singolo trattamento (art. 32) è infine l’ultimo dei 5 indispensabili adempimenti da realizzare entro il 25 maggio.
“……..il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”
L’aggettivo “adeguato”è qualcosa di molto più impegnativo delle vecchie “misure minime”, previste dal D.lgs 196/03. Per cui questo deve fare riflettere ulteriormente il titolare del trattamento dati sulla necessità di assicurare un livello alto e compelto della sicurezza dei trattamenti dati

9 step per realizzare correttamente la mappatura dei trattamenti dati secondo il GDPR

Rispondi

Cattura

In questa tabella sono riportati i 9 passaggi da seguire per realizzare la corretta mappatura dei trattamenti dati in linea con il GDPR

INTEGRAZIONEKIT

  1. Categorie di dati personali ed  interessati  coinvolti
  2. Specificare tutti gli elementi inclusi nel trattamento per ciascuna categoria
  3. Fonte dei dati personali
  4. Scopo del trattamento dati personali
  5. Base giuridica per ciascun scopo
  6. Categorie speciali di dati personali
  7. Base giuridica per il trattamento di categorie speciali di dati personali
  8. Periodo di conservazione
  9. Azioni richieste per la conformità al GDPR