Società servizi informatici

Obbligo di produrre la documentazione GDPR e di nominare il DPO.


L'obbligo del GDPR e della nomina del DPO è espressamente confermato dal Garante della Privacy. FAQ Garante 2018 >. Il Titolare risponde in solido in caso non conformità.

Verificare interna conformità al GDPR

Come vengono fatte le Ispezioni G.d.F.

Supporto gratuito per la verifica GDPR

La Privacy in breve

Le norme Privacy garantiscono il diritto alla riservatezza dei dati personali e della vita privata. Le parti in gioco.

L'interessato

Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”. Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo. I nuovi diritti e le garanzie introdotte dal GDPR sono il diritto:
- a essere informati - di sapere chi e come si trattano i suoi dati personali - di accedere ai propri dati personali - alla rettifica dei propri dati - di revoca - di opporsi al trattamento - alla cancellazione - all’oblio - di cancellare informazioni rese pubbliche - alla portabilità dei dati.

Il Responsabile

Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento
Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare. Devono essere determinati contrattualmente: - la materia disciplinata - la durata del trattamento - la natura e le finalità del trattamento - il tipo di dati personali e le categorie di interessati -gli obblighi e i diritti del Titolare e del Responsabile.

Dati personali comuni

I dati personali sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. In particolare i dati comuni sono i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);

Sanzioni amministrative e penali

Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.
Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili, in particolare la mancata nomina del DPO se necessaria.
Le sanzioni penali, decretate dal legislatore italiano, riguardano: il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante.

Il Titolare

Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. I dipendenti che trattano i dati personali all’interno dell'organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

Il DPO, quando è d'obbligo e sanzioni

Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo. Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare. La mancata nomina del DPO, se necessaria, viene sanzionata con il 2% del fatturato annuo dell'esercizio precedente. Verifica qui se la tua attività a l'obbligo di nomina del DPO >. 

Dati personali particolari(sensibili)

Sono i dati personali rientranti in particolari categorie:
• i dati "sensibili", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;
• i dati "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
• i dati di "profilazione" acquisiti dalle nuove tecnologie e che hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono), ad esempio quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Chi ne risponde in caso di sanzioni

L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.
Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare. Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.

Il GDPR per le Società di servizi marketing

Obbligo di documentazione GDPR e DPO. Come fare per adeguarsi alle normative Privacy.

La nozione di monitoraggio regolare e sistematico su larga scala, che obbliga alla nomina del DPO, include non solo tutti i vari strumenti di tracciatura elettronica e profilazione online, ma anche qualsiasi forma di tracciatura in un ambiente offline. Per il Comitato europeo Privacy, un monitoraggio è regolare se avviene di continuo o in un arco temporale ben definito, se ripetuto ad intervalli constanti. Il monitoraggio è sistematico se si verifica in base ad uno schema o quando è organizzato, metodico, prestabilito, o se rientra in un piano generale od una strategia (es. servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, monitoraggio di dati sulla salute  [...] ).


Nota 1: Concetto di "larga scala"

In base all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su ‘larga scala’ per far scattare l’obbligo di nomina di un DPO/RPD. E’ chiaro che il concetto di ‘larga scala’, è generico e privo di riferimento numerico o comunque oggettivo. Tali trattamenti devono intendersi come quelli che “mirano al trattamento di una notevole quantità di dati personali a livello provinciale, regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Per stabilire se un trattamento è su larga scala il WP29 suggerisce di tenere in considerazione alcuni elementi:
- il numero degli interessati coinvolti (in termini assoluti o in % rispetto alla popolazione di riferimento);
- la quantità dei dati trattati;
- le diverse tipologie di dati trattati;
- la durata del trattamento;
- la portata geografica del trattamento

Nota 2: "Monitoraggio" dei dati sistematico e regolare

Rientrano nel concetto di “Monitoraggio regolare e sistematico” tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. E’ stato, infatti, chiarito che per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. Tuttavia, occorre evidenziare che il tracciamento on line è solo uno dei possibili casi di monitoraggio. 

Nota 3: Concetto di "sistematico" e "regolare"

L’aggettivo “sistematico” ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia
L’aggettivo “regolare” ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici. 

Soggetti iscritti alla sezione C e E

Stante la caratteristiche degli intermediari sopra descritti, si può certamente ritenere che i soggetti iscritti alle sezioni C e E, stante la tipologia della loro intermediazione limitata ad un numero di casi modesto, non eseguano certamente trattamenti su larga scala e, pertanto, non abbiano l’obbligo della nomina del DPO.

Lighting Design

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.

Architectural Design

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.

Il Servizio DPO

Nel caso che il Titolare, sentito il Consulente Privacy, valuti sia necessario o opportuno, il servizio DPO viene attivato dall'azienda tramite nomina sul sito del Garante della Privacy. https://www.garanteprivacy.it/regolamentoue/rpd. Il DPO deve essere inserito in Privacy Policy e indicato sul sito web.

Data della nomina

Entro il 25 maggio 2018 per le aziende già attive alla data. Per le aziende con inizio attività dopo il 25 maggio 2018, la nomina del RPD/DPO è obbligatoria prima dell'avvio in attività dell'azienda.

Relazione del Titolare

La relazione del Titolare in merito alla nomina del DPO è necessaria, in quanto la decisione della nomina del DPO viene delegata alla valutazione dello stesso Titolare del trattamento.

Sanzioni

La mancanza della nomina del DPO, se necessaria per la tipologia dei dati oggetto del trattamento, viene sanzionata con l'importo pari al 2% del fatturato annuo dell'esercizio precedente.

La documentazione obbligatoria

Documenti da produrre, conservare e mettere in atto. In sede di ispezioni sono le prime cose che vengono richieste.

1 - Elaborare il GDPR aziendale

Il Documento GDPR di conformità aziendale consiste nella elaborazione e stampa dei seguenti documenti:

1 - Registro delle Attività di Trattamento del Titolare
2 - Inventario assets aziendali
3 - Configurazione informative e consensi
4 - Documento valutazione impatto
5 - Valutazione dei rischi
6 - Misure di minimizzazione dei rischi
7 - Gestione e nomina dei soggetti autorizzati
8 - Gestione e nomina dei Responsabili
9 - Gestione della violazione dei dati

2 - Redigere le Policy aziendali

Sono documenti e regolamenti recanti le disposizioni al personale e altri soggetti in merito alla privacy.

1 - Organizzazione aziendale Privacy
2 - Regolamento Utilizzo Sistemi ICT
3 - Data Breach
4 - Disaster recovery
5 - Business continuity
6 - Cyber Security
7 - Backup e Retention
8 - Attivazione utenze (User Access Life-cycle Management)
9 - Amministratore di sistema

 Nomina del DPO 

Il DPO viene incaricato tramite documento di nomina. Ha il ruolo di Consulente e controllore. Le principali attività:

1 - Consulenza e supporto al Titolare
2 - Supporto al personale aziendale
3 - Supporto all'elaborazione del Documento di impatto
4 - Supporto al definizione dei trattamenti
5 - Consulenza in caso di eventi con criticità
6 - Audit periodici per la verifica della conformità
7 - Audit periodici sull'applicazione delle Policy aziendali
8 - Relazione annuale sulle attività e conformità aziendale
9 - Supporto al Titolare in caso di Ispezioni

Intervista sulla Privacy

Interessante intervista al Comandante della Guardia di Finanza Colonnello Marco Menegazzo. 

Il Comandante del Gruppo Privacy rilascia una breve intervista riguardo
al Regolamento GDPR e agli interventi di verifica del Gruppo Privacy.

Il Regolamento europeo GDPR sulla Privacy

A chi è rivolto

La conformità al GDPR

Ispezioni e sanzioni

Lascia la mail per ricevere aggiornamenti o offerte speciali sull'argomento Privacy

Siamo qui per aiutarti

Il Team Privacy mette a disposizione del cliente figure professionali di alto livello: Ingeneri, Avvocati, Informatici e Project Manager  



Contatta il Consulente

Scegli il canale più adatto alla tipologia e oggetto della tua richiesta.

Whatsapp

Per comunicazioni urgenti 

Telefono

Per breve colloquio telefonico

E-mail

Per richieste o info documentate

Prenotazione

Per consulenza programmata

© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925

Il sito usa solo cookies necessari che non richiedono consenso. Leggi la Privacy policy.