. . . .

Regolamento europeo 2016/679 GDPR – Entrata in vigore 25 Maggio 2018

Consulenza Privacy Regolamento europeo

GDPR General Data Protection Regulation

La consulenza privacy e organizzativa consente il passaggio dal rispetto della normativa italiana tuttora in vigore e di prossima abrogazione alle rilevanti novità previste dal GDPR – General Data Protection Regulation che entrano in vigore in tutta l’Unione europea il 25 Maggio 2018. Le implicazioni hanno consigliato di fare intercorrere due anni dalla approvazione della normativa alla sua applicazione contemporanea in tutti i Paesi UE, ma molte imprese stanno sottovalutando contenuti e tempi necessari per essere in grado di rispettare le nuove regole.

Consulenza privacy, come iniziare? Rilevando lo stato organizzativo: mappatura dei processi interessati ai dati personali e loro flusso, ruoli e responsabilità, correlazioni con altri sistemi gestionali dell’impresa, contrattualistica dei servizi web e delle altre attività che hanno un nesso con i dati personali. Effettuando la valutazione dei rischi inerenti la gestione dei dati personali e il correlato livello di sicurezze applicate. Occorre farlo da subito.

Successivamente si passerà alla redazione o alla revisione del regolamento (policy o disciplinare) interno, alla formazione dei soggetti coinvolti nel trattamento dei dati personali, alla redazione del registro dei trattamenti, alla revisione dell’informativa, alla verifica delle modalità di consenso e alla valutazione complessiva di aderenza alla norma fino al raggiungimento degli obiettivi del progetto aziendale di Privacy by design e alla completa adesione al principio di Privacy by default.

Questionario da allegare a richiesta preventivo 

Per compilare e salvare il questionario da inviare con la richiesta preventivo consulenza Privacy (caricamento questionario compilato, drop a file here), prelevare gratuitamente Adobe Acrobat Reader DC

Richiesta preventivo Consulenza Privacy

Richiesta preventivo privacy
Drop a file here or click to upload Choose File
Maximum upload size: 52.43MB
Invio

DPO Data Protection Officer

Se la vostra organizzazione è orientata alla esternalizzazione del ruolo del DPO previsto dal Regolamento europeo 2016/679 e state valutando chi possa ricoprirne l’incarico, per un primo contatto può essere utilizzato il modulo di Richiesta preventivo Consulenza Privacy, riportando tale orientamento nello spazio dedicato a “Messaggio”. Per fornire le informazioni sulla struttura con la quale aprire una eventuale collaborazione, invitiamo ad allegare il questionario compilato.
Vi ricontatteremo telefonicamente per comprendere le vostre esigenze.

Quanto alla obbligatorietà del DPO, nella FAQ per il settore privato punto 3, il Garante Privacy indica:” ….sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.”

Sull’esclusione della nomina del DPO nella FAQ per il settore privato punto 4, il Garante Privacy indica. “Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”

Chi è e per quali motivi è designato il DPO – Data Protection Officer

(Responsabile della protezione dei dati)

Estratto del REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – Adottato dal Consiglio in data 8 aprile 2016.

Articolo 37 – Designazione del responsabile della protezione dei dati

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. 2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. 3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro  struttura organizzativa e dimensione. 4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento. 5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39. 6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. 7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

Articolo 38 – Posizione del responsabile della protezione dei dati

1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. 2. Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. 3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento. 4 Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento. 5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri. 6. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Articolo 39 – Compiti del responsabile della protezione dei dati

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. 2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Considerando 97

Per i trattamenti effettuati da un’autorità pubblica, eccettuate le autorità giurisdizionali o autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali, o per i trattamenti effettuati nel settore privato da un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, o ove le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi alle condanne penali e ai reati, il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.

Software Privacy GDPR Regolamento europeo 2016/679

Dopo un’attenta analisi abbiamo scelto la soluzione software che soddisfa gli adempimenti del Regolamento europeo 2016/679. Per gestire in modo semplice ed efficace i contenuti del GDPR Regolamento europeo 2016/679 occorre fare ricorso ad un apposito software che sia in grado di risolvere le esigenze di micro, piccole, medie organizzazioni e anche di grandi imprese. Per le PMI, gli enti e gli Studi professionali lo strumento più adatto è sicuramente un software cloud su piattaforma web che ne può permettere la condivisione con il Consulente o con il DPO.
Con la licenza software viene acquistata anche una copertura assicurativa Cyber e Privacy

Formazione Privacy GDPR Regolamento europeo 2016/679

La formazione privacy di responsabili e soggetti che trattano i dati personali è richiamata negli articoli 29, 32 e 39 del Regolamento. Occorre notare che la norma impone il divieto a trattare i dati personali per chi (dipendenti, collaboratori, etc.) non è “istruito in tal senso”. Con tale formula si mette in risalto non solo la necessità di essere formati alla comprensione generica dei contenuti del Regolamento europeo ma anche, e soprattutto, di essere istruiti quanto alle specifiche operazioni eseguite ed ai processi che le contengono.

Guide, vademecum Privacy GDPR Regolamento europeo 2016/679

Garante Privacy, Ancitel, Associazioni di categoria, Fondazioni di professioni ordinistiche hanno pubblicato guide, quaderni e vademecum che aiutano a comprendere e ad applicare il nuovo Regolamento europeo Privacy GDPR.

Garante Privacy

La Guida rapida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.

Documento>>>>>

ANCI

Quaderno su “L’attuazione negli Enti locali del nuovo Regolamento UE 679/2016 sulla protezione dei dati personali”.

Documento>>>>>

Commercialisti

Fondazione Naz. “Il Regolamento UE 2016/679 GDPR: nuove regole comunitarie e precisazioni in materia di protezione dei dati personali ” e “Checklist di base per gli Studi Professionali”.
Documento>>>>>
Allegato>>>>>

Consulenti lavoro

Fondazione Studi Consulenti del Lavoro “Guida alle nuove regole in materia di Privacy”

Documento>>>>>

Avvocati

Consiglio Nazionale Forense “Il GDPR e l’avvocato” con modello di informativa e registro trattamenti.

Documenti>>>>>

Regolamento europeo Privacy GDPR

Selezione di video pubblicati sul web

L’intervento del Prof. Francesco Pizzetti, Costituzionalista ed ex Garante della Privacy, in occasione del Convegno “Dati e Mercati: Opportunità e adempimenti per le imprese toscane con il nuovo Regolamento Europeo in materia di protezione dei dati personali (GDPR)” che si è svolto a Firenze il 13 Aprile 2018 presso la Camera di Commercio.

GDPR General Data Protection Regulation in 97 secondi, pensare alla nostra vita in digitale (in lingua inglese).

Compliance: il percorso da fare per diventare conformi al nuovo Regolamento Privacy europeo (in lingua inglese)

La qualità dei dati personali e il data breach (in lingua inglese)

Consulenza Privacy – Come abbiamo seguito l’evoluzione della normativa

25 Maggio 2018: entra in vigore il GDPR, regolamento europeo per la protezione dei dati personali

8 aprile 2016 – Direttiva del Parlamento europeo e del Consiglio relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
8 aprile 2016 – Regolamento del Parlamento europeo e del Consiglio relativo  alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
4 Maggio 2016 – Gazzetta Ufficiale dell’Unione Europea con pubblicazione del Regolamento e delle Direttive relativi alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

UE-USA privacy shield

12 luglio 2016 – La Commissione europea ha adottato l’UE-USA Privacy Shield. Questo nuovo quadro normativo protegge i diritti fondamentali di ogni persona della UE i cui dati personali vengono trasferiti negli Stati Uniti e apporta chiarezza del diritto per le imprese sui trasferimenti di dati transatlantici. La nuova disposizione prevede: – obblighi di protezione forte a carico delle imprese che ricevono i dati personali dall’UE – garanzie sull’accesso ai dati da parte del Governo degli Stati Uniti; – protezione efficace e risarcimento per gli individui; – esame annuale congiunto per monitorarne l’attuazione. Factsheet EU-USA Privacy Shield

Uso dei cookie nei siti web

Dal 2 Giugno 2015 è entrato in vigore il provvedimento n. 229 dell’8 Maggio 2014 redatto dal Garante della Privacy “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014. Se esistono i presupposti indicati nel provvedimento, cioè l’uso di cookie per la profilazione del navigatore, uso di cookie di parti terze come Google Analytics o correlati alle pagine dei social network, occorre richiedere il consenso preventivo o informarne il navigatore prima in forma breve e poi con un’informativa estesa. Un’apposita comunicazione (in forma di banner per il Garante) deve apparire nella pagina di accesso al sito web allo scopo di rendere edotto il navigatore. Per applicare correttamente la normativa è necessario mappare i cookie utilizzati nel proprio sito web.

Dal 2003 – Videosorveglianza per la difesa del patrimonio aziendale

Una delle tecniche di difesa del patrimonio aziendale è costituita dall’installazione dell’impianto di videosorveglianza all’interno dell’area di vendita o in altre aree nelle quali possono agire, e quindi essere ripresi, anche lavoratori dipendenti. Prima di procedere all’installazione è necessario effettuare una serie di valutazioni tecniche e giuridiche anche rapportate allo Statuto dei lavoratori. La normativa di riferimento non ha subito variazioni dopo l’approvazione del Jobs Act. Per le imprese che non hanno una rappresentanza sindacale interna occorre procedere all’istanza presso la Direzione Territoriale del Lavoro competente prima dell’inizio dei lavori di installazione.

Dal 2003 – Organizzazione e Policy aziendale

Proponiamo alle imprese la redazione del Modello organizzativo Privacy e del Regolamento informatico (o Disciplinare interno o Policy aziendale) che contiene le indicazioni comportamentali per i soggetti (Dipendenti e Collaboratori) che utilizzano gli strumenti informatici dell’organizzazione o che possono accedere a informazioni condivise (cloud computing) con strumenti propri. Per poterlo realizzare il primo obiettivo è definire l’impatto della normativa sull’organizzazione e sull’operatività quotidiana. E’ pertanto di fondamentale importanza avere la visione globale dell’assetto organizzativo che può cambiare in base alle correlazioni e ai processi interni all’impresa. La consulenza di direzione è in grado di apportare le conoscenze per le risoluzioni più equilibrate, anche coordinate con la nuova normativa Privacy europea la cui entrata in vigore è prevista per maggio 2018.

Dal 2003 – Consulenza privacy per l’applicazione della normativa nei luoghi di lavoro

La consulenza privacy affronta le seguenti tematiche: mappatura della qualità dei dati personali e delle modalità di trattamento, responsabilità del titolare del trattamento e nomina dei responsabili del trattamento, modalità dell’uso dei personal computer e della gestione dei software, limiti dell’uso della posta elettronica aziendale, modalità di navigazione in Internet, modalità di utilizzo dei telefoni cellulari aziendali, policy per l’accesso ai dati aziendali con strumenti del dipendente, modalità di accesso alle aree e locali, videosorveglianza e correlazioni con la Legge n. 300/1970 (Statuto dei Lavoratori), della normativa e delle linee guida del Garante. Per gli enti pubblici il riferimento è la Direttiva della funzione pubblica 02/09 del 26/05/09.

1996 – La prima norma sulla Privacy Legge 675/1996

Come non ricordare gli albori della normativa che pretendeva di notificare al Garante l’inizio del trattamento dei dati personali?

1. Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge è tenuto a darne notificazione al Garante. 2. La notificazione è effettuata preventivamente ed una sola volta, a mezzo di lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere dal numero delle operazioni da svolgere, nonché dalla durata del trattamento e può riguardare uno o più trattamenti con finalità correlate. Una nuova notificazione è richiesta solo se muta taluno degli elementi e deve precedere l’effettuazione della variazione.