• News – Safety & Quality – 06 Novembre 2018 •

COSA DEVO FARE PER ADEGUARMI ALLA PRIVACY – D.Lgs. 101/2018 del 10 Agosto 2018 ?

Il progetto di adeguamento

Prima ancora di muoversi verso l’adeguamento burocratico, le aziende dovrebbero informarsi per comprendere l’importanza e il valore dei dati, oltre ai danni economici legati alla perdita delle informazioni: se un’impresa perde dati rilevanti, perde denaro come diretta conseguenza.

Le aziende dovrebbero strutturare un progetto che consenta loro di pianificare tutte le azioni da compiere per adeguarsi al Regolamento e avere la certezza di non aver trascurato informazioni importanti riguardanti se stessa ed eventuali società ad essa collegate. Le imprese singole dovranno muoversi in autonomia, mentre nelle aziende con varie sedi e nei gruppi di imprese, è la casa madre a doversi occupare di organizzare un progetto di adeguamento per tutte le società controllate.

L’analisi preliminare sul contesto aziendale serve ad avere un quadro completo e schematizzare l’organizzazione dei ruoli, la cultura e le competenze a disposizione, i processi e le regole di gestione dati, la documentazione che ha effetti sul trattamento, le tecnologie e gli strumenti per la gestione della sicurezza informatica, i sistemi di controllo e di audit interno.

Per adeguarsi al Regolamento le aziende devono capire se possono gestire il progetto con le proprie risorse o necessitano di una consulenza esterna. Il progetto di adeguamento al GDPR serve per assicurare un’applicazione omogenea delle norme sul trattamento dei dati, valutare le implicazioni delle nuove disposizioni sui processi esistenti e individuare i punti critici e le azioni da attuare per adeguarsi al Regolamento.

Il Titolare del trattamento

Questa nuova figura sarà obbligatoria in tutte le imprese e avrà un ruolo chiave nella gestione di tutte le attività effettuate sui dati personali.

Il Titolare del trattamento dei dati è la persona fisica, o la persona giuridica (ente, società, associazione) che prende le decisioni sulle modalità e sulle finalità del trattamento dei dati, sugli strumenti da utilizzare e sulle misure di sicurezza. È anche il responsabile in caso di violazione del Codice Privacy.

Se il Titolare è individuato nella persona giuridica che corrisponde alla società, all’ente o all’associazione, non vi sarà la necessità di cambiare i documenti sulla privacy al variare della persona fisica che rappresenta l’organizzazione (amministratore, direttore, ecc.).

Il Titolare ha il ruolo di progettare le regole di trattamento dei dati, organizzando le strategie di raccolta, utilizzo, elaborazione. Dovrà inoltre dimostrare di minimizzare i rischi di violazioni, prendendo delle adeguate misure di sicurezza.

Per eseguire le operazioni di trattamento inerenti all’attività, il Titolare può naturalmente avvalersi di collaboratori (sia interni che esterni); spetta comunque a lui valutare l’adeguatezza del personale e se necessario prevedere dei corsi di formazione.
Il Responsabile del trattamento
Un’altra figura ha un ruolo importante nel processo di trattamento dei dati messo in atto dal Titolare: il Responsabile del trattamento. Anche in questo caso può trattarsi sia di una persona fisica che di una giuridica, può essere un soggetto pubblico oppure privato.

Il Responsabile viene nominato dal Titolare e si occupa di gestire il trattamento dei dati, completamente o solo in parte. Il potere decisionale riguardo a finalità, mezzi e modalità del trattamento spetta comunque solo al Titolare.

La nomina del Responsabile è facoltativa, ma la sua figura è prevista perché può capitare che il Titolare non abbia tutte le competenze pratiche – operative necessarie alla corretta gestione dei dati, soprattutto nei casi di grandi organizzazioni in cui il Titolare ha numerosi adempimenti. La figura del Responsabile quindi è stata pensata come una prima misura per contrastare i rischi connessi alle attività di trattamento dati.

Web hosting

Chi gestisce un sito web deve sapere che il servizio di web hosting è giuridicamente responsabile del trattamento dei dati, perché elabora i dati per conto del Titolare. Quindi è necessario un contratto scritto tra Titolare e web hosting, in cui indicare cosa può fare il web hosting con i dati e quali misure di sicurezza deve adottare. In caso di violazioni commesse dal web hosting, il Titolare sarà comunque il responsabile di fronte alle autorità.

Il Registro delle attività di trattamento svolto

Il Registro dei trattamenti sui dati personali è uno strumento indispensabile per gestire le informazioni in modo conforme al GDPR, ma anche per documentare e dimostrare tale conformità.

Sarà obbligatorio per tutte le imprese che superano i 250 dipendenti. Quelle che ne hanno meno possono non adottarlo, a meno che non trattino dati sensibili o categorie particolari (definite dagli articoli 9 e 10 del GDPR), e che il trattamento dei dati non presenti un rischio per i diritti e la libertà dell’interessato.

Il registro dovrà essere gestito dai titolari e dai responsabili dei dati, che saranno obbligati a cooperare con il Garante della Privacy e a consentirgli l’accesso su richiesta, per monitorare ed esaminare le operazioni del trattamento.
L’istituzione del Registro delle attività servirà a garantire:

  • il controllo della sicurezza sui dati personali;
  • il diritto all’oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali quando non servono più alle finalità per cui erano stati forniti;
  • la portabilità dei dati da un titolare ad un altro, semplificando molte pratiche burocratiche per l’interessato;
  • valutare ed analizzare i rischi dei trattamenti.

Sapere con esattezza quali trattamenti siano svolti in azienda, con quali modalità e quali siano le misure di sicurezza prese, permetterà infatti alle aziende di valutare se sono state adottate tutte le misure necessarie a garantire il rispetto della privacy.

Il registro è uno strumento utile per mappare i flussi di dati in modo ordinato e organizzato, verificare che tipo di rischi ci possano essere in relazione agli specifici trattamenti, individuare le criticità e valutare le azioni da intraprendere per minimizzare i rischi e garantire l’integrità e la riservatezza secondo le nuove regole.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e prevede i seguenti contenuti obbligatori (definiti nell’articolo 30 del GDPR):

  • nome, cognome e contatti del Titolare del trattamento, del Rappresentante del Titolare e del Responsabile della protezione dei dati (se presenti)
  • finalità del trattamento dei dati
  • descrizione delle categorie di dati e delle categorie di interessati
  • descrizione delle categorie dei destinatari a cui saranno comunicati i dati personali (comprese imprese e sedi estere)
  • indicazione dei trasferimenti di dati verso paesi esteri e organizzazioni internazionali, con identificazione dei destinatari
  • termini previsti per la cancellazione delle diverse categorie di dati
  • descrizione delle misure di sicurezza tecniche e organizzative, documentando le motivazioni.

Questa è una lista dei contenuti minimi che devono essere indicati nel registro, ma dato che è anche uno strumento operativo potrà ovviamente contenere tutte le informazioni utili al Titolare per la gestione dei dati.

Informativa privacy 2018

Oltre ad adeguare l’organizzazione aziendale, il nuovo regolamento GDPR richiede anche di aggiornare l’informativa sulla privacy del sito web. Gli utenti devono essere informati sull’utilizzo dei propri dati con un linguaggio chiaro e trasparente, facendo riferimento al “GDPR General Data Protection Regulation- Regolamento UE 2016/679” e dal 10 Agosto al “D.Lgs. 101/2018”.

In particolare, l’informativa deve spiegare:

  • in che modo e per quale scopo verranno trattati i propri dati personali;
  • se il conferimento dei propri dati personali è obbligatorio o facoltativo;
  • le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
  • a chi saranno comunicati o se saranno diffusi i propri dati personali;
  • i diritti previsti dall’art. 7 del Codice;
  • chi è il titolare e (se è stato designato) il responsabile del trattamento.In tal senso, occorre semplificare anche le informative sui cookies: gli utenti devono poter accettare o rifiutare il monitoraggio dei cookies e degli altri identificatori. Non è più necessario il consenso per i cookies non intrusivi (es: dati di navigazione, cronologia degli acquisti su e-commerce).

Sanzioni

Le imprese che non si adegueranno in tempo al Regolamento andranno incontro a pesanti sanzioni pecuniarie: fino a 20 milioni di euro o al 4% del fatturato totale annuo.

TORNA ALLE NEWS

• News – Safety & Quality – 06 Novembre 2018 •

COSA DEVO FARE PER ADEGUARMI ALLA PRIVACY – D.Lgs. 101/2018 del 10 Agosto 2018 ?

Il progetto di adeguamento

Prima ancora di muoversi verso l’adeguamento burocratico, le aziende dovrebbero informarsi per comprendere l’importanza e il valore dei dati, oltre ai danni economici legati alla perdita delle informazioni: se un’impresa perde dati rilevanti, perde denaro come diretta conseguenza.

Le aziende dovrebbero strutturare un progetto che consenta loro di pianificare tutte le azioni da compiere per adeguarsi al Regolamento e avere la certezza di non aver trascurato informazioni importanti riguardanti se stessa ed eventuali società ad essa collegate. Le imprese singole dovranno muoversi in autonomia, mentre nelle aziende con varie sedi e nei gruppi di imprese, è la casa madre a doversi occupare di organizzare un progetto di adeguamento per tutte le società controllate.

L’analisi preliminare sul contesto aziendale serve ad avere un quadro completo e schematizzare l’organizzazione dei ruoli, la cultura e le competenze a disposizione, i processi e le regole di gestione dati, la documentazione che ha effetti sul trattamento, le tecnologie e gli strumenti per la gestione della sicurezza informatica, i sistemi di controllo e di audit interno.

Per adeguarsi al Regolamento le aziende devono capire se possono gestire il progetto con le proprie risorse o necessitano di una consulenza esterna. Il progetto di adeguamento al GDPR serve per assicurare un’applicazione omogenea delle norme sul trattamento dei dati, valutare le implicazioni delle nuove disposizioni sui processi esistenti e individuare i punti critici e le azioni da attuare per adeguarsi al Regolamento.

Il Titolare del trattamento

Questa nuova figura sarà obbligatoria in tutte le imprese e avrà un ruolo chiave nella gestione di tutte le attività effettuate sui dati personali.

Il Titolare del trattamento dei dati è la persona fisica, o la persona giuridica (ente, società, associazione) che prende le decisioni sulle modalità e sulle finalità del trattamento dei dati, sugli strumenti da utilizzare e sulle misure di sicurezza. È anche il responsabile in caso di violazione del Codice Privacy.

Se il Titolare è individuato nella persona giuridica che corrisponde alla società, all’ente o all’associazione, non vi sarà la necessità di cambiare i documenti sulla privacy al variare della persona fisica che rappresenta l’organizzazione (amministratore, direttore, ecc.).

Il Titolare ha il ruolo di progettare le regole di trattamento dei dati, organizzando le strategie di raccolta, utilizzo, elaborazione. Dovrà inoltre dimostrare di minimizzare i rischi di violazioni, prendendo delle adeguate misure di sicurezza.

Per eseguire le operazioni di trattamento inerenti all’attività, il Titolare può naturalmente avvalersi di collaboratori (sia interni che esterni); spetta comunque a lui valutare l’adeguatezza del personale e se necessario prevedere dei corsi di formazione.
Il Responsabile del trattamento
Un’altra figura ha un ruolo importante nel processo di trattamento dei dati messo in atto dal Titolare: il Responsabile del trattamento. Anche in questo caso può trattarsi sia di una persona fisica che di una giuridica, può essere un soggetto pubblico oppure privato.

Il Responsabile viene nominato dal Titolare e si occupa di gestire il trattamento dei dati, completamente o solo in parte. Il potere decisionale riguardo a finalità, mezzi e modalità del trattamento spetta comunque solo al Titolare.

La nomina del Responsabile è facoltativa, ma la sua figura è prevista perché può capitare che il Titolare non abbia tutte le competenze pratiche – operative necessarie alla corretta gestione dei dati, soprattutto nei casi di grandi organizzazioni in cui il Titolare ha numerosi adempimenti. La figura del Responsabile quindi è stata pensata come una prima misura per contrastare i rischi connessi alle attività di trattamento dati.

Web hosting

Chi gestisce un sito web deve sapere che il servizio di web hosting è giuridicamente responsabile del trattamento dei dati, perché elabora i dati per conto del Titolare. Quindi è necessario un contratto scritto tra Titolare e web hosting, in cui indicare cosa può fare il web hosting con i dati e quali misure di sicurezza deve adottare. In caso di violazioni commesse dal web hosting, il Titolare sarà comunque il responsabile di fronte alle autorità.

Il Registro delle attività di trattamento svolto

Il Registro dei trattamenti sui dati personali è uno strumento indispensabile per gestire le informazioni in modo conforme al GDPR, ma anche per documentare e dimostrare tale conformità.

Sarà obbligatorio per tutte le imprese che superano i 250 dipendenti. Quelle che ne hanno meno possono non adottarlo, a meno che non trattino dati sensibili o categorie particolari (definite dagli articoli 9 e 10 del GDPR), e che il trattamento dei dati non presenti un rischio per i diritti e la libertà dell’interessato.

Il registro dovrà essere gestito dai titolari e dai responsabili dei dati, che saranno obbligati a cooperare con il Garante della Privacy e a consentirgli l’accesso su richiesta, per monitorare ed esaminare le operazioni del trattamento.
L’istituzione del Registro delle attività servirà a garantire:

  • il controllo della sicurezza sui dati personali;
  • il diritto all’oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali quando non servono più alle finalità per cui erano stati forniti;
  • la portabilità dei dati da un titolare ad un altro, semplificando molte pratiche burocratiche per l’interessato;
  • valutare ed analizzare i rischi dei trattamenti.

Sapere con esattezza quali trattamenti siano svolti in azienda, con quali modalità e quali siano le misure di sicurezza prese, permetterà infatti alle aziende di valutare se sono state adottate tutte le misure necessarie a garantire il rispetto della privacy.

Il registro è uno strumento utile per mappare i flussi di dati in modo ordinato e organizzato, verificare che tipo di rischi ci possano essere in relazione agli specifici trattamenti, individuare le criticità e valutare le azioni da intraprendere per minimizzare i rischi e garantire l’integrità e la riservatezza secondo le nuove regole.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e prevede i seguenti contenuti obbligatori (definiti nell’articolo 30 del GDPR):

  • nome, cognome e contatti del Titolare del trattamento, del Rappresentante del Titolare e del Responsabile della protezione dei dati (se presenti)
  • finalità del trattamento dei dati
  • descrizione delle categorie di dati e delle categorie di interessati
  • descrizione delle categorie dei destinatari a cui saranno comunicati i dati personali (comprese imprese e sedi estere)
  • indicazione dei trasferimenti di dati verso paesi esteri e organizzazioni internazionali, con identificazione dei destinatari
  • termini previsti per la cancellazione delle diverse categorie di dati
  • descrizione delle misure di sicurezza tecniche e organizzative, documentando le motivazioni.

Questa è una lista dei contenuti minimi che devono essere indicati nel registro, ma dato che è anche uno strumento operativo potrà ovviamente contenere tutte le informazioni utili al Titolare per la gestione dei dati.

Informativa privacy 2018

Oltre ad adeguare l’organizzazione aziendale, il nuovo regolamento GDPR richiede anche di aggiornare l’informativa sulla privacy del sito web. Gli utenti devono essere informati sull’utilizzo dei propri dati con un linguaggio chiaro e trasparente, facendo riferimento al “GDPR General Data Protection Regulation- Regolamento UE 2016/679” e dal 10 Agosto al “D.Lgs. 101/2018”.

In particolare, l’informativa deve spiegare:

  • in che modo e per quale scopo verranno trattati i propri dati personali;
  • se il conferimento dei propri dati personali è obbligatorio o facoltativo;
  • le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
  • a chi saranno comunicati o se saranno diffusi i propri dati personali;
  • i diritti previsti dall’art. 7 del Codice;
  • chi è il titolare e (se è stato designato) il responsabile del trattamento.In tal senso, occorre semplificare anche le informative sui cookies: gli utenti devono poter accettare o rifiutare il monitoraggio dei cookies e degli altri identificatori. Non è più necessario il consenso per i cookies non intrusivi (es: dati di navigazione, cronologia degli acquisti su e-commerce).

Sanzioni

Le imprese che non si adegueranno in tempo al Regolamento andranno incontro a pesanti sanzioni pecuniarie: fino a 20 milioni di euro o al 4% del fatturato totale annuo.

TORNA ALLE NEWS