Vai al contenuto principale
Contattaci

Categoria: Privacy

Consulenza in materia di privacy aziendale ed il trattamento dei dati personali

  • Assistenza in materia di Privacy ai sensi del Regolamento UE 2016/679

    Assistenza in materia di Privacy ai sensi del Regolamento UE 2016/679

    Con l’obiettivo di offrire una continuità nella gestione degli obblighi derivanti dal Regolamento UE 2016/679 in materia di protezione dei dati personali, proponiamo ai nostri clienti un’assistenza annuale, con lo scopo di valutare e ottimizzare la gestione e la protezione dei dati personali.

    All’assunzione dell’incarico di assistenza e almeno una volta l’anno sarà redatto un aggiornamento del Piano degli Interventi.

    La responsabilità del tecnico (e di Ancora S.r.l.) è limitata alle informazioni e alle situazioni di cui è portato a conoscenza durante i sopralluoghi, prendendo visione della documentazione e/o tramite comunicazioni scritte da parte dei soggetti aziendali: tutto quanto non espressamente portato a conoscenza non può essere oggetto di valutazione e di eventuale adeguamento.

    Sono compresi nell’incarico:

    • 1 audit annuale per la verifica di conformità alla normativa vigente in materia di privacy;
    • redazione e invio del Piano degli Interventi aggiornato;
    • aggiornamento, se necessario, del Registro dei Trattamenti ai sensi del Regolamento UE 2016/679;
    • assistenza telefonica in caso di necessità;
    • aggiornamento sulla principale normativa vigente.

    Per qualsiasi chiarimento potete contattarci.

  • Regolamento Europeo Privacy – GDPR

    A partire dal 25 maggio 2018 entrerà in vigore a livello europeo il nuovo regolamento sulla privacy che andrà ad appoggiare e, in alcuni casi, sostituire l’attuale Codice della Privacy (D.Lgs. 196/2003).

    Si tratta di un nuovo regolamento (UE 2016/679) che verrà applicato da tutti i Paesi europei al fine di costituire una base omogenea all’interno dell’Unione nel campo della tutela della privacy e dei dati personali.

    Il nuovo regolamento non andrà tuttavia a sostituire i provvedimenti del Garante su alcuni temi fra cui quello della biometria, del tracciamento dei flussi bancari e della videosorveglianza.

    Il regolamento europeo (GDPR) introduce molte novità in materia di trattamento dei dati personali, compreso un nuovo approccio organico e basato sulla “responsabilità” del titolare del trattamento, che dovrà comprovare di essere in grado di rispettare la normativa europea fornendo prove concrete e documentate.

    Importanti novità riguardano anche l’informativa sulla privacy, che dovrà contenere una serie di indicazioni aggiuntive rispetto a quanto previsto dall’attuale Codice della privacy (D.Lgs. 196/2003), le procedure da attuare in caso di violazione degli archivi, il registro delle attività di trattamento e altro.

    Un’altra innovazione è l’introduzione del Responsabile della protezione dei dati (DPO) che potrà essere nominato all’interno di alcune tipologie di aziende e dovrà assicurarsi che le norme in materia vengano rispettate.
    La designazione del DPO, ai sensi dell’art. 37 del GDPR, è obbligatoria in tre ipotesi:

    • se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico,
    • quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
    • quando le attività principali dell’organizzazione consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e reati.
  • Codice in materia di protezione dei dati (Decreto Legislativo 196/2003)

    Codice in materia di protezione dei dati (Decreto Legislativo 196/2003)

    I soggetti che effettuano il trattamento
    Nello svolgimento dell’attività di impresa è normale che vengano trattati dati personali, vale a dire informazioni riferibili a soggetti identificati o identificabili (ad esempio dipendenti, clienti e fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o diffusione di dati personali) sono effettuate del Titolare del trattamento o dal responsabile (se designato) e dagli incaricati del trattamento. Le designazioni devono essere scritte e controfirmate.

    Comunicazione e diffusione dei dati dei lavoratori, clienti e fornitori
    Le operazioni di trattamento riguardano per lo più:

    dati anagrafici di lavoratori (assunti o cessati dal servizio), dati dei clienti e dei fornitori, dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;
    informazioni più strettamente connesse allo svolgimento dell’attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti “ad personam”; l’ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.
    I medesimi dati sono:

    • contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione
    • contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali;
    • resi disponibili in albi e bacheche o nelle intranet aziendali.

    In particolare, il Codice in materia di protezione dei dati prescrive che il trattamento di dati personali avvenga:

    • nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11);
    • informando preventivamente e adeguatamente gli interessati (art. 13);
    • chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
    • rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27 del Codice);
    • adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere anche civilmente e penalmente (artt. 15, 31, 167 e 169 del Codice).
    • All’interno del pacchetto semplificazioni varate dal Governo Monti, è stato abolito il Documento Programmatico per la sicurezza (DPS), in quanto “non previsto tra le misure di sicurezza richieste dalla Direttiva europea, e adempimento meramente superfluo”.

    Restano comunque confermate tutte le altre misure di sicurezza previste dalla normativa vigente (nomine e istruzioni operative).