Adeguati per non incorrere
in sanzioni amministrative e penali.
Complessivo sanzioni in Europa € 158 milioni, in Italia € 69 milioni di Euro.
Violazioni alla normativa GDPR accertate n° 707 nel 2018 e 779 nel 2019.
Denuncie all'Autorità Giudiziaria N° 27 nel 2018.
Sanzione di € 16.000 a medico per aver inviato mail ai pazienti senza consenso.
Tutte le aziende di ogni settore e dimensione, artigiani, attività varie, Enti publici, organizzazioni private e professionisti. Con priorità nei settori:
Settori ed aziende di marketing e telemarketing
Settore sanitario, dagli ospedali al singolo professionista
Aziende che trattano dati su larga scala (assicurazioni
L’attività ispettiva su iniziativa del Garante comprende l’accertamento in loco curato dal personale dell’Ufficio o dalla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al controllo, nei confronti di soggetti non necessariamente individuati su reclami o segnalazioni.
Gli accertamenti scaturiscono a seguito di segnalazioni o reclami dei soggetti interessati. L’Autorità può avviare istruttorie anche senza procedere con le ispezioni presso gli interessati. Molte attività di controllo avvengono senza che l’Autorità si rechi nelle sedi aziendali (ad esempio controllo delle informative dei siti internet).
Le ispezione e verifiche possono essere anche effettuate a campione su settori di attività predefinite. Le verifiche possono essere effettuate senza accedere alle sedi aziendali. Per quanto riguarda le informative o i consensi, ad esempio, possono essere controllati i siti internet e verificare la conformità alla normativa europea GDPR.
Il titolaredell'azienda deve dimostrare all'Autorità ispettiva di essere a conoscenza della normativa e di avere applicato le misure idonee. Nel caso di sanzioni ne risponde in solido.
Il rappresentante legale dell'azienda deve dimostrare all'Autorità ispettiva di essere a conoscenza della normativa e di avere applicato le misure idonee. Nel caso di sanzioni ne risponde in solido.
Nel caso che l'azienda abbia nominato il DPO (ha il ruolo di consulente e controllore), presso il Garante, in sede di ispezione viene convocato direttamente dall'organo ispettivo.
In primo luogo viene richiesto l'elenco delle persone, con i relativi ruoli, interne o esterne all'azienda, che trattano i dati personali per conto dell'azienda.
Deve quindi essere consegnata la documentazione relativa al GDPR: informative e consensi, registro dei trattamenti, valutazione rischi e misure adottate, nomine ...
Devono essere inoltre i vari documenti aziendali che regolano i comportamenti operativi: istruzioni al personale, Data breach, Disaster recovery ...
Gli ispettori possono accedere agli uffici o luoghi dove dev’essere svolta l’ispezione dalle 7 alle 20 e questo anche per diversi giorni e richiedere ogni documento e/o informazione oggetto della verifica. Possono anche apporre i sigilli su database e documenti.
I funzionari dell’Autorità possono svolgere interrogatori ai quali occorre rispondere in modo corretto, chiaro e non evasivo. Le risposte devono far riferimento il più possibile alle procedure adottate in modo da evitare risposte generiche.
Gli ispettori, nell'attività di verifica dell'adeguamento aziendale, richiedono la documentazione a supporto delle varie attività intraprese dall'azienda in merito al percorso di adeguamento e alle decisioni in merito alla predisposizione delle policy interne.
Assenza GDPR: 4%
Assenza formazione: 2%
Sanzione da 3 mila a 30 mila euro mila euro per omessa o inidonea informativa e/o consenso.
Il titolare del trattamento deve comunicare con atto di nomina e registro trattamenti i responsabili esterni.
L'azienda deve preparare regolamenti interni per l'ICT, il Data Breach, Backup e Disaster Recovery.
Avere le informative in regola è il centro del sistema privacy. Deve esserci, essere chiara, sintetica, avere contenuti previsti dalla legge, essere facilmente consultabile, on site e da remoto, non deve essere generica e deve essere omnicomprensiva dei trattamenti specifici effettuati dall’azienda.
Il consenso al trattamento deve essere richiesto, raccolto in modo libero da parte dell’interessato, che sia esplicito, riferito ai trattamenti previsti e nel quale sia ben indicato il diritto di revoca.
Il registro dei trattamenti deve essere tenuto costantemente aggiornato sia per una eventuale verifica sia per la gestione interna. Il registro deve essere, chiaro, aderente alla realtà attuale aziendale, da questo devono potersi evincere i flussi dei dati, le responsabilità e le azioni di security adottate per prevenire i rischi e per adottare le misure in caso di incidente.
Elenco dei soggetti autorizzati e/o incaricati ad accedere ai dati personali oggetto del trattamento ai sensi dell’art. 29 del GDPR e copia degli atti di nomina e eventuale recova agli incaricati e responsabili del trattamento dei dati. Ai responsabili deve essere consegnato anche il registra dei trattamenti che li riguardi.
Avere un piano formativo adeguato e documentato per tutte le persone coinvolte nei vari trattamenti, con la certezza delle verifiche, in modo che si sia accertata la reale preparazione del personale addetto.
Effettuare una verifica di adeguatezza delle misure di sicurezza adottate, che siano predisposte sulla base di un’analisi dei rischi concreta e aggiornata.
Avere un pianificazione documentata e una gestione chiara dei data breach (violazione dei dati) che preveda tutto l’iter comunicativo e le azioni da adottare.
Verificare che, se si rende necessaria in funzione della normativa, sia stata fatta e sia coerente una valutazione di impatto.
Compila il modulo per scaricarle, riceverai il link alla tua mail.
Il Privacy Team offre i servizi di consulenza e di preparazione della documentazione per l'adeguamento alla normativa GDPR. Inoltre svolge il servizio DPO agli enti pubblici, aziende e Professionisti.
E' costituito da professionisti esperti (Ingegnere Elettronico, Avvocato, Esperti in reti telematiche e sicurezza delle reti informatiche) con consolidata esperienza nel settore della normativa Privacy dal 2003 e nel settore delle nuove tecnologie informatiche e telematiche dal 1990. Offre la migliore professionalità anche alle micro e piccole attività e ai Professionisti.
Ingegnere elettronico, indirizzo telecomunicazioni, opera in Sardegna, con attività imprenditoriali nei settori informatica, telecomunicazioni e trasferimento tecnologico alle imprese. In particolare, dal 2003, svolge l'attività di consulenza sulla normativa Privacy e servizio DPO alle aziende ed enti pubblici. Il riferimento al GDPR svolge attività di Consulenza e servizio DPO con nomina presso il Garante nazionale della Privacy.
Svolge l'attività di avvocato civilista, collaborando con studi e come libero professionista. Si occupa di rappresentare e difendere i cittadini, offrendo la propria assistenza legale in materia civile. Si occupa delle tematiche legali con il Privacy Team relative alle normative sulla privacy e sicurezza dei dati UE 679/2016 GDPR e IT D. Lgs. 101/1028, ed effettua il servizio DPO per le aziende ed Enti pubblici.
Specialista elettronico con elevate esperienze nei Sistemi di Controllo e di Sicurezza presso primarie Società Italiane e Multinazionali ricoprendo funzioni di organizzazione della formazione del personale nel settore informatico e della sicurezza delle reti e dati. Nel Privacy Team ricopre la figura di consulente per gli aspetti tecnologici relativi alle reti informatiche e telematiche ed alla sicurezza dei dati.
Consulente esperto nel settore delle certificazioni aziendali (ISO 9000) e del settore Sicurezza sul lavoro. Opera nella consulenza per l'elaborazione della documentazione che per la formazione del personale aziendale. Nel Privacy Team si occupa della gestione dei clienti per la consulenza GDPR e formazione ai titolari e agli incaricati aziendali del trattamento dei dati e per le relazioni commerciali.
© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925
Scarica il documento che contiene le principali richieste della Guardia di Finanza in sede ispettiva.
Scarica il documento che contiene le principali richieste della Guardia di Finanza in sede ispettiva.