Verifica se sei effettivamente adeguato alla normativa Privacy e nomina del DPO.
Verificare interna conformità al GDPR
Come vengono fatte le Ispezioni G.d.F.
Supporto gratuito per la verifica GDPR
Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”. Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo. I nuovi diritti e le garanzie introdotte dal GDPR sono il diritto:
- a essere informati - di sapere chi e come si trattano i suoi dati personali - di accedere ai propri dati personali - alla rettifica dei propri dati - di revoca - di opporsi al trattamento - alla cancellazione - all’oblio - di cancellare informazioni rese pubbliche - alla portabilità dei dati.
Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento.
Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare. Devono essere determinati contrattualmente: - la materia disciplinata - la durata del trattamento - la natura e le finalità del trattamento - il tipo di dati personali e le categorie di interessati -gli obblighi e i diritti del Titolare e del Responsabile.
I dati personali sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. In particolare i dati comuni sono i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);
Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.
Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili, in particolare la mancata nomina del DPO se necessaria.
Le sanzioni penali, decretate dal legislatore italiano, riguardano: il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante.
Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. I dipendenti che trattano i dati personali all’interno dell'organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.
Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo. Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare. La mancata nomina del DPO, se necessaria, viene sanzionata con il 2% del fatturato annuo dell'esercizio precedente. Verifica qui se la tua attività a l'obbligo di nomina del DPO >.
Sono i dati personali rientranti in particolari categorie:
• i dati "sensibili", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;
• i dati "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
• i dati di "profilazione" acquisiti dalle nuove tecnologie e che hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono), ad esempio quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.
Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare. Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.
Le nuove disposizioni interessano in modo particolare gli asili nido e le scuole dell’infanzia, in quanto in essi vengono trattati dati personali e sensibili di utenti minori, attraverso i dati forniti dai genitori che esercitano la patria potestà. Va specificato che la nuova normativa esplicita i principi su cui basare il trattamento dei dati, ad esempio, non impone una modalità specifica di raccolta e conservazione dati (a scelta su base informatica o su base cartacea, o su entrambe), ma chiede piuttosto di attuare le strategie per proteggere tali dati, strategie personalizzate purché sicure. I dati raccolti negli asili nido e nelle scuole dell’infanzia sono di due tipi: Dati Personali: ad esempio nome, cognome, indirizzo, n. telefono, codice fiscale, sia del minore che dell’adulto che ne esercita patria potestà. I dati personali di cui viene in possesso il nido, sono liberamente forniti dai genitori in occasione della stipulazione dei contratti, e sono dati necessari in quanto, in mancanza del loro conferimento, potrebbe essere impossibile fornire il servizio. Dati sensibili: i dati sensibili trattati sono quelli relativi: allo stato di salute del bambino o dei familiari; all’eventuale minore età di un genitore; alle convinzioni religiose se incidono sulla dieta del bambino. I dati sensibili cui viene in possesso la Direzione del nido o della scuola dell’infanzia, sono forniti dai genitori in base a quanto previsto dal Regolamento interno. Oltre ai dati dei bambini e dei genitori, al nido e alla scuola dell’infanzia si raccolgono anche dati relativi al personale dipendente, sia di tipo personale sia di tipo sensibile (ad esempio, documenti sullo stato di salute – gravidanza delle educatrici, o il documento obbligatorio per la legge antipedofilia).
1 -Far compilare e firmare a GENITORI e a DIPENDENTI il nuovo MODULO per consenso alla raccolta e al trattamento dei dati. Nel nuovo MODULO DI CONSENSO devono essere chiaramente esplicitati:
2- Il TRATTAMENTO DEI DATI (denominazione o ragione sociale, domicilio o sede) con i riferimenti per il contatto (Nome e cognome della persona incaricata - legale rappresentante, email, telefono)
3 - TIPOLOGIA ELENCO DEI DATI RACCOLTI: nei nidi e nelle scuole si raccolgono dati personali elo dati sensibili
4 - CHI PUO' AVERE ACCESSO A TALI DATI (oltre al Titolare del trattamento), ad esempio: dirigente; funzionario responsabile; coordinatrice; educatrici; addetto amministrativo; operatrici; professionisti incaricati dal Comune per interventi con i bambini...
5 - FINALITA' DEL TRATTAMENTO: per finalità istituzionali, connesse o strumentali all'attività dell'Asilo Nido, cioè ad esempio: • per esigenze legate all'inserimento e alla frequenza del bambino all'Asilo Nido; • per dare esecuzione ad attività collegate al servizio e convenute; • per eseguire obblighi di legge; • per adempiere a quanto disposto da altre autorità (Regione, Provincia, Prefettura, Aziende U.L.S.S., ecc.); • per esigenze di tipo operativo e gestionale. Si precisa inoltre che non si intendono utilizzare i dati per finalità diverse da quelle per cui sono stati raccolti.
6 - MODALITA' DEL TRATTAMENTO
7 - AMBITO DI DIFFUSIONE E COMUNICAZIONE DEI DATI, con la precisazione del fatto che i dati non verranno trasferiti all'estero
8 - TEMPI DI CONSERVAZIONE DEI DATI: indicazioni sul tempo in cui verranno conservati tali dati (esempio: i dati verranno trattati per tutto il periodo nel quale verrà fornito il servizio di...)
9 - DIRITTI DELL'INTERESSATO l'utente ha, in qualsiasi momento, il diritto di ottenere la conferma dell'esistenza o meno dei dati presso il Titolare del Trattamento, di conoscerne il contenuto e l'origine, di verificarne l'esattezza o chiederne l'integrazione, la cancellazione, l'aggiornamento, la rettifica, la trasformazione in forma anonima o il blocco dei Dati Personali trattati in violazione di legge, nonché di opporvi in ogni caso, per motivi legittimi, al loro trattamento.
10 - Assicurare la CANCELLAZIONE DEI DATI: indicazioni chiare su come fare (es. tramite email, tramite richiesta scritta...) e indirizzo a cui richiedere.
L’incaricato del trattamento è una figura operativa (dipendente), il cui ruolo è portare a termine delle operazioni che gli vengono affidate dal Titolare del trattamento. La sua autonomia operativa è minore, così come la responsabilità che gli viene affidata: l’incaricato del trattamento è infatti un esecutore, tra i suoi compiti non vi è quello di prendere decisioni in merito al trattamento dei dati ma di attenersi alle disposizioni scritte nell'atto di nomina del Titolare.
Per Responsabile del trattamento si intende la persona fisica o giuridica esterna all'azienda preposta dal Titolare al trattamento dei dati personali. In particolare: il commercialista, il medico, l'avvocato, il personale esterno che gestisce i sistemi informatici ... Il Responsabile viene nominato dal Titolare con un atto formale consistente in un documento nel quale vengono indicati i dati che può trattare e le modalità per la loro sicurezza.
Il DPO per gli asili e le scuole d'infanzia, è stato oggetto di contrasto, soprattutto in relazione alla dicotomia asilo pubblico/asilo privato. Se per la prima tipologia, non sono sorti dubbi sulla obbligatorietà della nomina, che trova la sua fonte direttamente nella natura pubblicistica del nido, diverse interpretazioni sono state elaborate per la seconda. Pertanto, se pur non si vuol propendere per la tesi della obbligatorietà, si dovrebbe quanto meno considerare quella dell’opportunità, alla luce della natura dei dati oggetto del trattamento, in quanto riguardano i minori.
Poiché la gestione dell’immagine di un minore è un tema che trova tutela anche nel codice penale, il consiglio più valido è di farsi rilasciare una liberatoria da entrambi i genitori. Al fine di evitare l’insorgere di problematiche postume (che sono state fonte di scelte anche estreme da parte dei titolari del trattamento, vedi annullamento della foto di classe), è necessario acquisire un preventivo consenso alla pubblicazione, sui siti istituzionali o quelli social della scuola, delle foto/video effettuate in occasione di eventi come recite, sfilate, cortei, ecc., raffiguranti i minori ed in particolare quelle dove sono riconoscibili i volti. Sul punto, per completezza argomentativa, si segnala che vi sono anche orientamenti che ritengono, invece, superfluo chiedere il consenso ai genitori per la pubblicazione delle foto dei minori sui siti legati alla scuola o sul giornale della scuola.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.
Entro il 25 maggio 2018 per le aziende già attive alla data. Per le aziende con inizio attività dopo il 25 maggio 2018, la nomina del RPD/DPO è obbligatoria prima dell'avvio in attività dell'azienda.
La relazione del Titolare in merito alla nomina del DPO è necessaria, in quanto la decisione della nomina del DPO viene delegata alla valutazione dello stesso Titolare del trattamento.
La mancanza della nomina del DPO, se necessaria per la tipologia dei dati oggetto del trattamento, viene sanzionata con l'importo pari al 2% del fatturato annuo dell'esercizio precedente.
Il Documento GDPR di conformità aziendale consiste nella elaborazione e stampa dei seguenti documenti:
1 - Registro delle Attività di Trattamento del Titolare
2 - Inventario assets aziendali
3 - Configurazione informative e consensi
4 - Documento valutazione impatto
5 - Valutazione dei rischi
6 - Misure di minimizzazione dei rischi
7 - Gestione e nomina dei soggetti autorizzati
8 - Gestione e nomina dei Responsabili
9 - Gestione della violazione dei dati
Sono documenti e regolamenti recanti le disposizioni al personale e altri soggetti in merito alla privacy.
1 - Organizzazione aziendale Privacy
2 - Regolamento Utilizzo Sistemi ICT
3 - Data Breach
4 - Disaster recovery
5 - Business continuity
6 - Cyber Security
7 - Backup e Retention
8 - Attivazione utenze (User Access Life-cycle Management)
9 - Amministratore di sistema
Il DPO viene incaricato tramite documento di nomina. Ha il ruolo di Consulente e controllore. Le principali attività:
1 - Consulenza e supporto al Titolare
2 - Supporto al personale aziendale
3 - Supporto all'elaborazione del Documento di impatto
4 - Supporto al definizione dei trattamenti
5 - Consulenza in caso di eventi con criticità
6 - Audit periodici per la verifica della conformità
7 - Audit periodici sull'applicazione delle Policy aziendali
8 - Relazione annuale sulle attività e conformità aziendale
9 - Supporto al Titolare in caso di Ispezioni
Il Comandante del Gruppo Privacy rilascia una breve intervista riguardo
al Regolamento GDPR e agli interventi di verifica del Gruppo Privacy.
Il Regolamento europeo GDPR sulla Privacy
A chi è rivolto
La conformità al GDPR
Ispezioni e sanzioni
Lascia la mail per ricevere aggiornamenti o offerte speciali sull'argomento Privacy
Per comunicazioni urgenti
Per breve colloquio telefonico
Per richieste o info documentate
Per consulenza programmata
© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925