gestione ambientale - sicurezza lavoro - corsi di formazione
gestione ambientale -  sicurezza lavoro -  corsi di formazione

25  maggio 2018: è entrato in vigore il Regolamento Generale sulla Protezione dei Dati ( GDPR 2016/679 ), la nuova normativa europea sulla privacy.                                                Il 19 settembre 2018 è la data di entrata in vigore del Decreto Legislativo n. 101 del 10 agosto 2018 che adegua la normativa nazionale al Regolamento UE.

Questo Regolamento ,che anche alla luce del recente “pasticcio Facebook dovrebbe  garantire un minimo di sicurezza sia per chi tratta i dati che per chi li mette a disposizione riguarda tutti i soggetti, pubblici e privati, aziende , enti , associazioni ,imprese e studi professionali che trattano qualunque tipo di dati di clienti , soci, fornitori, ditte manutenute , et cetera , sia in modo informatico sia cartaceo.

 

All'entrata in vigore del nuovo Regolamento europeo  dovrà essere effettuato l’adeguamento che consiste :

 

1. Invio di una NUOVA INFORMATIVA conforme al nuovo Regolamento  da parte Vostra ai soggetti ai quali richiedete dati per ottenerne il CONSENSO al trattamento , informativa che andrà a sostituire la precedente prevista già dal Codice Privacy del 1994.

2. La Formazione dei  soli dipendenti che effettuano per conto del titolare la  trattazione dei dati stessi e dei Responsabili preposti a questi dipendenti.

3. Redazione del nuovo Registro trattamento dati ,  documento interno aziendale  che per essere utile dovrà contenere tutti i dati richiedibili dal Garante Nazionale della Privacy , ( nominativi dei Responsabili trattamenti , incaricati dei trattamenti , eventuale nomina DPO se obbligatoria, comunicazione relativa al Garante Privacy, informativa inviata agli interessati, elenco dei consensi ottenuti ,misure minime di sicurezza adottate, et cetera)

4. Nei casi previsti , la nomina del Responsabile della Protezione dei dati ( da non confondre con il Responsabile del trattamento dati ) e relativa comunicazione al Garante della Privacy.

 

In caso di mancato adeguamento alla normativa ,Vi ricordiamo che , oltre a risarcimenti per danni che saranno richiedibili da qualunque interessato che ritiene lesi i propri diritti , richiedibili con semplice esposto al Garante della Privacy  , è prevista anche una sanzione pari al 4% del fatturato annuo, ma al di là delle sanzioni , i rischi di una modalità di trattamento dati non in sicurezza  sono:

  1. casi di intrusioni nelle reti telematiche aziendali con furti di elenchi clienti , di password autorizzative   carte da credito aziendali.
  2. Incapacità di difendersi da malware che bloccano tutti i pc aziendali con richieste di riscatto
  3. commercio di materiale informatico riservato, come gli indirizzi di clienti alla  insaputa del titolare dell’azienda.

 

D'accordo che il Garante della Privacy è a Roma , lontano , ma esiste una convenzione fra il medesimo ed il Nucleo Privacy della Guardia di Finanza che è il suo efficace braccio destro ( più di mille ispezioni effettuate nell'arco dell'ultimo anno ...)

 

L’adempimento di tale obbligo relativo alla privacy andrebbe segnalato nella relazione di accompagnamento del bilancio societario anche perché a partire dall’anno 2008 il mancato adempimento del corretto trattamento dei dati costituisce violazione sanzionabile della legge 231/01 ,normativa sulla responsabilità societaria .

 

L’avvenuto adeguamento alla normativa Privacy insieme alla documentazione inerente la sicurezza lavorativa ormai fa parte della documentazione minima richiesta  per ottenere finanziamenti dal sistema creditizio, contributi ed accesso a gare di appalto in tutta l'area UE.

 

 

Obblighi confermati dal Regolamento Protezione dati :

 

 

1.  OBBLIGO DI NUOVA INFORMATIVA SECONDO IL NUOVO REGOLAMENTO DATI

 

E' ancora valida la solita  informativa ai sensi del  d.lgs. 196/2003 che veniva inviata prima del 25 maggio 2018  ?

Le informative inviate prima del 25 maggio 2018 restano valide solamente se hanno tutte le caratteristiche previste dal nuovo Regolamento 2016/679.

Quindi  è opportuno adoperarsi prima di tale data per inviare una informativa conforme a quanto indicato nel Nuovo Regolamento Trattamento dati europeo.

 

 

Contenuti della   Nuova informativa ( artt.13, paragrafo 1, e 14, paragrafo 1, del regolamento UE )

La Nuova informativa , per essere conforme al Nuovo Regolamento 2016/679 dovrà contenere le seguenti informazioni:

 

1)   Quali sono gli scopi e le modalità del trattamento;
(2)   Se l’interessato è obbligato o no a fornire i dati;
(3)   Quali sono le conseguenze se i dati non vengono forniti;
(4)   A chi possono essere comunicati o diffusi i dati;
(5)   Quali sono i diritti riconosciuti all’interessato;
(6)   Chi sono il titolare e l’eventuale responsabile del trattamento e l'eventuale DPO;
(7)   Dove sono raggiungibili questi soggetti.

(8)   Quale sarà la durata del trattamento dei dati raccolti

(9)   Se il trattamento dati preveda profilazione dei dati o comunque trattamenti automatizzati.

 

 

Entro quanto tempo deve essere inviata la nuova informativa ?

 

Nel caso di dati personali raccolti direttamente presso l’interessato (art. 13 del regolamento), l’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati , senza un preciso termine di tempo.

 

Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese  dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato)

 

Quali sono le modalità di invio dell’informativa da fornire all’interessato ?

L’informativa è data, in linea di principio, per iscritto , sempre in caso di dati personali , nel contesto di servizi online preferibilmente in formato elettronico.Può essere data anche “oralmente” ma solo nel rispetto dei contenuti e tempi suindicati .

 

Dati non raccolti direttamente presso gli interessati:

Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie  dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati  (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati

 

 

Esistono soggetti esentati dall'invio dell'informativa ?

Spetterebbe esclusivamente al Garante nazionale Privacy  decretare  la esenzione dalla informativa per categorie e/o tipologie di dati trattati. Alla data del 4 maggio 2018  non è stato emanata alcuna esenzione dall'informativa .

 

 

 

2.   OBBLIGO DI CONSENSO  CHE DEVE ESSERE RILASCIATO DA OGNI INTERESSATO CHE CONCEDE I PROPRI DATI PER UN TRATTAMENTO

 

Sono ancora validi i consensi raccolti prima del 25 maggio 2018 ?

l consensi raccolti precedentemente al 25 maggio 2018 restano validi solamente se hanno tutte le caratteristiche previste dal nuovo Regolamento 2016/679

Quindi  è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. La formula utilizzata per chiedere il consenso deve essere comprensibile, semplice, chiara (art. 7.2).

 

Per i dati “sensibili” (si veda art. 9 regolamento) il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento con modalità “esplicita” . Non è obbligatoria la “forma scritta” ma solo suggerita come modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.

Non  è ammesso il consenso tacito o presunto , per esempio il consenso ottenuto  con  caselle pre-spuntate su un modulo. 

Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

 

 

 

3. Formazione delle Persone autorizzate al trattamento dei dati  :

Il titolare del trattamento dovrà designare ed indicare  i nominativi delle  persone autorizzate all'interno della azienda /ente /associazione al trattamento dei dati ottenuti con il consenso obbligatorio  dell'interessato .

 

Questi sono :

- i soggetti che effettueranno il trattamento dei dati

- i  Responsabili del trattamento dati che si identificano nei loro dirigenti.

 

Il titolare deve garantire  che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; a questo scopo effettuare una formazione adeguata delle stesse .

 

Chiunque sotto l’autorità del titolare del trattamento abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.

4. REGISTRO DEI TRATTAMENTI

• Tutti i titolari e i responsabili di trattamento  devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati dal Regolamento Protezione Dati .(art. 5 , par. 2 del Regolamento )

 Il registro deve avere forma scritta, anche elettronica,non va inviato a chicchesia ma  deve essere esibito su richiesta al Garante Nazionale della Privacy.

Il Registro trattamenti  dovrà contenere  una analisi dei rischi. Ma di quali rischi stiamo parlando ? Rischio di alluvioni ?  Di terremoto? O arrivo di extraterrestri ? Alle volte sembra davvero che la valutazione dei rischi sulla protezione dei dati sia qualcosa di incomprensibile o l'occasione giusta per vendere altro hardware e software inutile. In realtà i rischi che inferiscono al trattamento dei dati personali sono facilmente individuabili:

  • rischi significativi per i diritti e le libertà fondamentali della persona ( fino all'anno 1945 , l'informazione che si apparteneva a determinati gruppi etnici significa la deportazione e la morte)
  • rischio di distruzione /perdita accidentale o illegale (pernsate se foste cancellati "accidentalmente " dall'anagrafe o se il Vs. conto corrente fosse "per caso " azzerato )
  • rischio di modifica non voluta ( da domani la Vs. rata di mutuo "stranamente" si triplica)
  • rischio di comunicazione e diffusione non consentita ( il Vs. datore di lavoro viene a conoscenza di una vostra patologia per la quale potreste essere discriminato sul lavoro )

Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di potere dimostrare con razionalità cosa si è predisposto per la protezione dei dati ai quali  i titolari hanno concesso l'assenso per il trattamento , quindi deve essere il  quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio.

 

Il Registro dei trattamenti non è un banale adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali, previa un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta.Ovviamente , in  caso di modifiche , andrà aggiornato affinchè non diventi un documento "fossile".

I contenuti minimi del registro sono fissati, come detto dal Regolamento Protezione dei dati ma tuttavia, nulla niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti ed in particolare dovrà contenere l’indicazione delle misure di sicurezza reali adottate.

L'unico motivo di esenzione dalla tenuta del Registro è , per le imprese sotto i 250 dipendenti , dimostrare di non avere trattamenti dati a rischio.

Misure di sicurezza

• Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento.

In questo senso, la lista delle misure indicate dal Regolamento di Protezione dei dati  è una lista aperta e non esaustiva .

Le misure di sicurezza dovranno essere valutate caso per caso dal  titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento  stesso .

Sarà possibile utilizzare l’adesione a specifici codici di condotta o a enti e/o organismi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate, anche se al momento il Garante della privacy non ha riconosciuto alcun organismo di certificazione  né emanato alcun codice di condotta  .

Spetterà comunque  al  Garante Privacy  valutare la definizione di linee-guida o buone prassi per determinate tipologie di trattamenti dei dati  attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi  ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti. In questo caso  il titolare ed i responsabili trattamenti dei dati saranno obbligati ad aggiornare le misure di sicurezza di cui al Registro dei trattamenti.

5. Il  Responsabile della Protezione dei Dati (RPD)/(DPO)

 

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679.

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante;  costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

2.  Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679.

Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono

-in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala ( esempio: attività di videosorveglianza di luoghi pubblici)

- in trattamenti su larga scala di categorie particolari di dati personali e/o di dati relative a condanne penali e a reati .

Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

 Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo.

 

 

 ( fonte _ www.garanteprivacy.it )

 

MINI GLOSSARIO REGOLAMENTO PRIVACY

 

 

Ai fini del presente regolamento s'intende per:

1) «archivio»:qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

2) «dato personale»:qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

3) «trattamento»:qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

4) «profilazione»:qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»:il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «titolare del trattamento»:la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

7) «responsabile del trattamento»:la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; 8)«destinatario»:la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati.

...

 

(fonti:  Regolamento di Protezione Dati 2018)

 


 

Vuoi un preventivo per allinearti alla Nuova normativa del Regolamento Protezione dati ?

richiedilo a formazione@sicurezzamarano.it

Stampa Stampa | Mappa del sito
© STUDIO SICUREZZA AMBIENTALE Dr. Marano - sede Via F. Testi 287 20162 MILANO Partita IVA 08675700150

E-mail

Come arrivare