Archivi categoria: Rassegna notizie online

esempio di compliance privacy

Ogni azienda o professionista in regola con il GDPR deve avere la seguente documentazione

Informative privacy

  • Informativa privacy clienti-utenti, dipendenti e fornitori. Di norma avrò un’Informativa breve di poche righe, facili da comprendere, e un’Informativa estesa con tutti i dettagli.
  • Formule di consenso specifiche. Attenzione alle formule per i minori e per i dati particolari (sanitari, biometrici e altri).
  • Informativa Cookie. Devo tenere traccia di ogni operazione.
  • Documentazione delle procedure per l’esercizio dei diritti degli interessati, previsti nell’informativa.

Documenti interni, da esibire in caso di controllo della Guardia di Finanza

  • Attestazione della formazione svolta in materia di trattamento dei dati personali, da tutti i soggetti coinvolti nel trattamento dei dati. 
  • Documentazione delle procedure organizzative, di sicurezza e di data breach (violazione dati).
  • Valutazione di impatto sulla protezione dei dati, ove prevista.
  • Contratti di nomina RTD – Responsabile Trattamento Dati – e dei soggetti autorizzati al trattamento. Da valutare se il proprio commercialista, avvocato, tecnico del computer rientrano o meno in questo ruolo.
  • Contratto di nomina RPD (Responsabile Protezione Dati o DPO), ove necessario.
  • Registro dei trattamenti (link Garante privacy) del Titolare e del Responsabile.
  • Evidenze dei percorsi di formazione e delle verifiche relative alle procedure organizzative e di sicurezza adottate. Ad esempio dovrò controllare che la formazione ricevuta sia stata efficace, facendo simulazioni periodiche e test di controllo; in caso negativo dovrò ripetere la formazione.

Esempio 1: indice di un documento di Procedura di notifica di violazione dei dati personali

PREMESSE
SCOPO
COS’È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)
A CHI SONO RIVOLTE QUESTE PROCEDURE?
A QUALI TIPI DI DATI SI RIFERISCONO QUESTE PROCEDURE
GESTIONE COMUNICAZIONE DI DATA BREACHES
GESTIONE DELLA VIOLAZIONE DEI DATI PERSONALI
Step 1: Identificazione e indagine preliminare
Step 2: Contenimento, Recovery e risk assessment
Step 3: Eventuale notifica all’Autorità Garante competente
Step 4: Eventuale comunicazione agli interessati
Step 5: Documentazione della violazione

Esempio 2: indice di un documento di Misure di Sicurezza e Organizzative

SCOPO E CAMPO DI APPLICAZIONE
RIFERIMENTI NORMATIVI E DOCUMENTALI
STRUTTURA ORGANIZZATIVA A SUPPORTO DELLA PRIVACY
TRATTAMENTO DEI DATI PERSONALI
ELENCO DEI TRATTAMENTI: Natura dei dati trattati – Trattamenti dati affidati all’esterno -Modalità di trattamento
GESTIONE DEGLI INCARICATI – Distribuzione dei compiti e delle responsabilità
MISURE DI SICUREZZA – Individuazione degli attacchi – Policy di Back up – Misure di protezione – Gestione, custodia e aggiornamento delle password – Misure di prevenzione da programmi dannosi o da accessi abusivi – Misure a protezione dei dati sensibili dei clienti – Archivi cartacei
PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI

Per conoscere i rischi che si corrono in caso di mancato adeguamento alle normative sul trattamento dei dati personali rinviamo all’articolo Le insidie del GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Startup e GDPR

La gestione della privacy delle strartup è particolarmente delicata in considerazione delle nuove tecnologie utilizzate e della presenza di operazioni di crowdfunding.

Inoltre, l’utilizzo di servizi di terze parti genera la necessità di valutare il trasferimento/trattamento dei dati, spesso extra-UE, verso i soggetti che offrono tali servizi.

Per consentire un’analisi autonoma in ambito privacy, forniamo di seguito un breve elenco, diviso in due sezioni, con i vari adempimenti base previsti dal Regolamento UE 679/2016 e dal decreto legislativo 101/2018. 

La prima sezione riguarda i documenti rivolti ai clienti-utenti; la seconda, i documenti che l’azienda deve possedere per poter dimostrare, in caso di controlli, la propria compliance alle norme sul trattamento dei dati.

Documenti privacy per clienti-utenti

  • Informativa privacy clienti-utenti.
  • Formule di consenso specifiche.
  • Informativa Cookie.
  • Eventuali modelli per l’esercizio dei diritti.

Documenti privacy dell'azienda

  • Valutazione di impatto sulla protezione dei dati, qualora prevista.
  • Informativa privacy dipendenti e fornitori.
  • Formule di consenso specifiche.
  • Accordi di nomina RTD – Responsabile Trattamento Dati – e dei soggetti incaricati, con impegno alla riservatezza. Accordo nomina DPO o RPD (Responsabile Protezione Dati) ove necessario.
  • Attestazioni della formazione svolta da tutti i soggetti coinvolti nel trattamento dei dati.
  • Registro dei trattamenti del Titolare e del Responsabile.
  • Documentazione delle procedure organizzative e di sicurezza relative al trattamento dei dati.
  • Creazione e gestione delle procedure per il data breach.
  • Pianificazione della formazione, delle verifiche relative alle procedure e degli audit interni.

Per conoscere i rischi che si corrono in caso di mancato adeguamento alle normative sul trattamento dei dati personali rinviamo all’articolo Le insidie del GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Bando Voucher Digitali I4.0 Edizione 2018-2019

La Camera di Commercio di Roma promuove, tramite il progetto Punto Impresa Digitale” (PID), la diffusione della cultura e della pratica digitale nelle micro, piccole e medie imprese (MPMI), di tutti i settori economici.

Con il Bando Voucher sono finanziati a fondo perduto fino al 75% gli invenstimenti.

Importo massimo del voucher: 10.000 euro.

Per tutte le informazioni leggere la pagina di sintesi della CCIAA di Roma.

Le insidie del GDPR

Alcune aziende e liberi professionisti stanno sottovalutando i nuovi adempimenti privacy previsti dal Regolamento UE 679/2016 (“GDPR”), obbligatori dal 25 maggio 2018.

Non si è in regola con il GDPR in tutti i casi di documentazione carente o assente -> vedi elenco adempimenti

Cosa succede in caso di mancato adeguamento?

1 – Rischio sanzioni e controllo Guardia di Finanza -> vedi video Comandante GdF

2 – Un cliente, un dipendente, un fornitore possono presentare un semplice reclamo al Garante e richiedermi i danni -> vedi procedura per il reclamo

La complessità degli adempimenti, peraltro, può trovare agevole risposta in una puntuale gestione delle politiche della privacy.

Breve intervento a Radio Radio sul nuovo decreto 101/2018.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Elenco adempimenti privacy (GDPR)

Per aziende con dipendenti – documenti di base

Per consentire un’analisi autonoma in ambito privacy, forniamo di seguito un breve elenco, diviso in due sezioni, con i vari adempimenti base previsti dal Regolamento UE 679/2016 e dal decreto legislativo 101/2018. 

La prima sezione riguarda i documenti rivolti ai clienti-utenti; la seconda, i documenti che l’azienda deve possedere per poter dimostrare, in caso di controlli, la propria compliance alle norme sul trattamento dei dati.

Documenti privacy per clienti-utenti

  • Informativa privacy clienti-utenti.
  • Formule di consenso specifiche.
  • Informativa Cookie.
  • Eventuali modelli per l’esercizio dei diritti.

Documenti privacy dell'azienda

  • Valutazione di impatto sulla protezione dei dati, qualora prevista.
  • Informativa privacy dipendenti e fornitori.
  • Formule di consenso specifiche.
  • Accordi di nomina RTD – Responsabile Trattamento Dati – e dei soggetti incaricati, con impegno alla riservatezza. Accordo nomina DPO o RPD (Responsabile Protezione Dati) ove necessario.
  • Attestazioni della formazione svolta da tutti i soggetti coinvolti nel trattamento dei dati.
  • Registro dei trattamenti del Titolare e del Responsabile.
  • Documentazione delle procedure organizzative e di sicurezza relative al trattamento dei dati.
  • Creazione e gestione delle procedure per il data breach.
  • Pianificazione della formazione, delle verifiche relative alle procedure e degli audit interni.

Per conoscere i rischi che si corrono in caso di mancato adeguamento alle normative sul trattamento dei dati personali rinviamo all’articolo Le insidie del GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Gestione privacy interna o esterna all’azienda?

Con il GDPR serve fornire la documentazione/evidenza che la politica privacy aziendale sia corretta e trasparente.

Ma conviene avere un consulente interno all’azienda o delegare a un soggetto esterno tutti i principali adempimenti privacy?

La gestione interna all’azienda genera:

– possibili conflitti di interesse: il soggetto che deve verificare la privacy può essere, come dipendente dell’azienda, condizionato o condizionabile rispetto a eventuali segnalazioni di non-conformità;

– dubbi nel cliente-utente, che potrà domandarsi quanto l’azienda sia trasparente nel trattamento dei dati.

La gestione esterna produce:

– l’aggiornamento continuo della documentazione privacy;

– una trasparenza maggiore: il cliente-utente sa che un soggetto esterno, specializzato, gestisce la privacy.

Generalmente un soggetto esterno garantisce un livello di servizio superiore a un costo minore rispetto a una gestione interna.

Un esempio pratico: pensiamo solo all’archiviazione dei consensi e a tutte le procedure privacy; quanto costerebbe la loro implementazione all’azienda? E l’aggiornamento-formazione degli operatori e le verifiche programmate?

Per la gestione privacy utilizzo diversi software che aiutano il lavoro.

Tra i più completi posso citare Iubenda: prezzi contenuti e molti servizi disponibili.

Ma con il software sono compliance al GDPR?

Sì, certamente se puoi rispondere almeno a queste 10 domande: sono specifiche per i professionisti ma valgono, di base, per qualsiasi soggetto che esegue trattamenti di dati personali.

Se anche una sola delle domande ti ha generato dubbi vuol dire che ti serve un consulente privacy, per una supervisione ed eventuale integrazione di tutta la documentazione privacy dell’azienda.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Informative privacy copia e incolla

L’adeguamento al Regolamento privacy 679/2016 (GDPR) è semplice: basta fare un copia-incolla dei documenti che servono, ad esempio dell’informativa privacy, e riempirli con i propri dati.

Meglio: uso un software che “fa tutto da solo” e mi elabora i documenti, senza bisogno di perdere tempo.

Nulla di più errato! Può essere un inizio, un supporto per il corretto trattamento dei dati, ma non è sufficiente.

Si fa leva sul desiderio delle aziende di risolvere rapidamente e con poca spesa una questione che, al contrario, richiede almeno un minimo di attenzione e partecipazione.

Il rischio è quello di spendere soldi inutili, di non essere conformi al GDPR.

Come faccio a capire se sono finito in questa “trappola”? Per fortuna è semplice, basta rispondere a poche domande di base:

  1. ho un’informativa privacy sintetica, di poche righe, facile da leggere, di immediata comprensione, che rinvia poi a un’informativa “estesa”?
  2. i miei dipendenti hanno ricevuto una formazione, almeno di base, sul corretto trattamento dei dati e sul GDPR?
  3. ho una procedura scritta in caso di perdita dati (anche se cancello un file dal pc per errore o perdo una chiavetta usb serve una procedura)?

Un decalogo completo per mettersi in regola si può leggere sul sito Altalex.

Cosa si rischia in caso di non conformità

  • segnalazione da un cliente o da un concorrente al Garante privacy che può inviare un controllo tramite il nucleo privacy Guardia di Finanza, con rischio di sanzioni amministrative e penali
  • mancato pagamento delle proprie fatture alla PA (gli enti pubblici potranno sospendere i pagamenti ai soggetti che non dimostrassero la conformità GDPR)
  • richiesta giudiziale di danni da tutti i soggetti che ritengono di aver subito un trattamento non corretto dei loro dati

Buon copia e incolla!

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

 

Informazioni in rete per software e compliance GDPR

In rete si trovano diversi articoli sul GDPR, su software “miracolosi” e sugli adempimenti necessari per la compliance privacy.

Prendo spunto da un articolo del 15 settembre 2018, qui il link, per parlare delle inesattezze che troviamo sul web. Ad esempio nell’articolo citato già il titolo è inesatto:

il decreto legislativo 101 /2018 armonizza il “Codice Privacy” al Gdpr, non attua affatto il GDPR; infatti, il GDPR è direttamente applicabile dal 25 maggio 2018, senza necessità di altre leggi.

Parlare di GDPR e aumentare la cultura della privacy, in genere, è comunque positivo.

Come consulente privacy invito i miei clienti, professionisti e aziende, a comprendere e studiare la normativa per poter “far da sé” l’adeguamento privacy. Spiego che non c’è obbligo di un consulente se si diventa competenti della materia rispetto al proprio settore di attività. Tuttavia, devo constatare, non ho molto successo e, per lo più, mi chiedono supporto per una comprensione semplificata della normativa e degli adempimenti minimi da documentare.

Discorso simile per i software GDPR che si trovano in rete. Attenzione all’illusione di poter fare in pochi minuti, e senza pensarci più, l’adeguamento GDPR tramite l’acquisto di un software-GDPR. Ci sono molti prodotti più o meno validi sul mercato ma vanno tutti intesi come “supporti” al processo di adeguamento GDPR. I software vanno, in altri termini, sempre gestiti da persone competenti per avere una documentazione valida ai fini GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Modulistica e Faq Garante Privacy

Sul sito del Garante della Privacy troviamo la modulistica per:

Per informazioni sull’assistenza gratuita per l’esercizio dei diritti e per presentare un reclamo al Garante scrivi a

info@ore9.com

Inoltre, sempre sul sito del Garante, troviamo un’aggiornata sezione con domande e risposte frequenti (faq).

NB I link ai file pdf presenti in questa pagina possono non essere aggiornati: si invita a consultare sempre il sito del Garante privacy per i file più recenti.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata