Posts tagged "PrivacyLab GDPR"

L’Autorità Garante per la protezione dei dati ha presentato lo scorso 7 maggio la sua relazione sull’attività svolta nel 2018, quello in cui è entrato in vigore il GDPR 16/679, che fa il punto sullo stato di attuazione della legislazione in materia di privacy e delinea gli scenari che si aprono per il futuro. Interessanti le cifre rese note che danno la dimensione dei reclami ricevuti, delle sanzioni erogate e delle ispezioni effettuate.

Le cifre del Garante 

Nel 2018 sono stati adottati 517 provvedimenti collegiali e fornito un riscontro a oltre 5.600 tra quesiti, reclami e segnalazioni su diverse questioni: marketing telefonico e cartaceo, centrali rischi, credito al consumo, videosorveglianza, concessionari di pubblico servizio, recupero crediti, settore bancario e finanziario, assicurazioni, lavoro, enti locali, sanità e servizi di assistenza sociale.

Fino all’applicazione del nuovo Regolamento Europeo, ci sono stati 130 ricorsi che hanno riguardato soprattutto editori, datori di lavoro pubblici e privati, banche e società finanziarie, pubblica amministrazione e concessionari di pubblici servizi, fornitori telefonici e telematici.

Il Collegio ha reso al Governo e al Parlamento 28 pareri (di cui 5 su norme di rango primario) che hanno riguardato, tra l’altro, l’attività di polizia e sicurezza nazionale, il casellario giudiziario, i trattamenti di dati a fini di polizia, le misure antiassenteismo e la raccolta delle impronte digitali dei dipendenti pubblici, il Programma statistico nazionale, il cosiddetto “bonus cultura”, il Fascicolo sanitario elettronico, la carta di identità elettronica, il Registro tumori, l’Archivio dei rapporti finanziari, l’Anagrafe nazionale dei vaccini, il fisco.

27 le comunicazioni di notizie di reato all’autorità giudiziaria, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e illecito controllo a distanza dei lavoratori.

Le violazioni amministrative contestate nel 2018 sono state 707, in larghissima parte concernenti il trattamento illecito di dati, la mancata adozione di misure di sicurezza, il telemarketing, le violazioni di banche dati, l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali, l’omessa esibizione di documenti al Garante.

Le sanzioni amministrative riscosse ammontano a oltre 8 milioni 160 milaeuro, segnando circa 115% in più rispetto al 2017.

Sono state effettuate 150ispezioni. Gli accertamenti, svolti nel 2018 anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”.

Dalle cifre emerge quindi in maniera evidente che la maggioranza delle sanzioni non viene erogata a fronte di ispezioni ma di reclami o segnalazioni.La relazione chiude il settennato del Collegio presieduto da Antonello Soro.

Come va gestito un Data Breach in azienda secondo il GDPR? Cosa dobbiamo fare se abbiamo a che fare con una possibile violazione dei dati personali?

Ce lo spiega Andrea Chiozzi, CEO di PrivacyLab, in questo estratto dal meeting annuale del 1° marzo 2019 a Milano riservato ai Rivenditori Ufficiali di PrivacyLab GDPR e ai Consulenti Certificati PrivacyLab.

Scopri PrivacyLab GDPR e tutti i suoi tool per la gestione della compliance al GDPR.

Per saperne di più CONTATTACI

N4B SRL – www.n4b.it – commerciale@n4b.it – 328-7221519

Uno dei pericoli più significativi per la privacy di un individuo risiede nel rischio che un’organizzazione in possesso dei suoi dati personali li perda, li modifichi o li divulghi incidentalmente. In altre parole che si verifichi quello che il GDPR 16/679 definisce un Data Breach.

Il Regolamento Europeo sulla privacy stabilisce quello che ogni azienda, ente e organizzazione privata o pubblica è tenuta a fare nel caso in cui dovesse verificarsi una violazione dei dati personali.

Come affrontare un Data Breach

1. Identificare: il primo passo è sicuramente capire se quanto accaduto costituisce una violazione dei dati personali. Che cosa è avvenuto? In relazione a quale tipologia di dati, trattamento e archivio? E quali erano le misure di sicurezza e il comportamento che abbiamo tenuto?
2. Registrare: l’adeguato tracciamento delle informazioni in nostro possesso può aiutare il titolare a stabilire la gravità della violazione e le azioni correttive necessarie. Il passaggio necessario sarà a questo punto la descrizione di quanto avvenuto nel registro dei Data Breach.
3. Comunicare: il General Data Protection Regulation prevede quando necessario la notifica del Data Breach al Garante per la protezione dei dati personali secondo le modalità previste e agli interessati sempre in modo chiaro e trasparente.

Centrale nel GDPR resta tuttavia il concetto di prevenzione al fine di ridurre il rischio di violazione dei dati personali. E solo l’impiego di strumenti e metodologie adatti può garantirci un corretto trattamento dei dati personali e una puntuale gestione secondo il principio chiave di accountability.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

PrivacyLab GDPR è la suite di strumenti più scelta dai professionisti che prestano consulenza privacy ad aziende, enti e organizzazioni pubbliche e private. Ma in che modo è possibile gestire più licenze contemporaneamente?

Per ogni ogni partita IVA che gestisci è necessario attivare la licenza di PrivacyLab GDPR più vicina alle esigenze dell’organizzazione. Per centralizzare poi il controllo delle diverse aziende e velocizzare così la gestione quotidiana degli adempimenti previsti dal Regolamento Europeo 16/679 è da sempre disponibile il tool di Superuser, uno strumento aggiuntivo che permette di riunire tutte le dashboard in un unico comodo pannello.

Grazie al tool di Superuser è così possibile spostarsi velocemente da una licenza all’altra e applicare contemporaneamente a più organizzazioni con esigenze simili modifiche sulle logiche dei trattamenti e sugli interessati.

Da oggi il tool di Superuser di PrivacyLab GDPR mette a disposizione anche dei template predefiniti, vale a dire degli schemi già strutturati di trattamenti di dati e di categorie di soggetti interessati.

Per esempio con il template human resources è possibile applicare con un solo click a più organizzazioni le logiche più frequenti legate alla gestione delle risorse umane. Altrettanto velocemente sarà possibile gestire altri modelli di trattamenti e interessati, come quelli relativi alla videosorveglianza, per una corretta applicazione del GDPR.

Potrebbe interessarti: TOOL DATABREACH (Clicca per leggere)

Fonte: Privacylab GDPR

Chi è alle prese con lo sviluppo di una nuova idea è ovviamente molto concentrato sulla costruzione del suo prodotto e sulla ricerca di modalità di comunicazione e finanziamento che gli permetteranno di far decollare il nuovo business. Di conseguenza tutti i discorsi relativi alla privacy e alla gestione dei dati personali di clienti, prospect e collaboratori possono magari apparire poco importanti se non addirittura noiosi agli occhi di uno startupper. (altro…)

La Giornata internazionale della protezione dei dati – promossa dal Consiglio d’Europa con il sostegno della Commissione Europea e di tutte le autorità europee per la protezione dei dati personali – offre un ulteriore spunto di riflessione sul tema della sicurezza dei dati personali e sul Regolamento Europeo sulla privacy entrato in vigore il 25 maggio 2018.

Lo scopo del Data Privacy Day istituito nel 2007 è quello di sensibilizzare e accrescere la consapevolezza dei diritti legati alla protezione dei dati. Consapevolezza che è il giusto approccio corretto al GDPR sia per le persone a cui appartengono i dati che le aziende, gli enti e le organizzazioni che li trattano e che devono conoscere i potenziali rischi associati ai loro trattamenti. Il General Data Protection Regulation 16/679 si basa sul principio di protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, e focalizza quindi l’attenzione su questo fondamentale diritto dell’individuo.

Il nuovo Regolamento Europeo ha valore per tutte le aziende che raccolgono e trattano dati personali di cittadini europei, nessuna esclusa. Per le organizzazioni si tratta quindi di un cambiamento sostanziale oltre che obbligatorio del loro sistema di gestione della privacy.

E tu sei a norma?
Ecco gli adempimenti essenziali da cui partire.

• verificare e adeguare tutte le informative
• designare i responsabili esterni del trattamento dei dati per rendere ogni trattamento conforme e verificato
• nominare quando necessario la figura del DPO – Data Protection Officer
• redigere un registro dei trattamenti che riporti ln maniera puntuale trattamenti, contromisure, tempi di conservazione e comunicazioni
• attivare una procedura solida di privacy by design che assicuri la verifica puntuale di tutti i trattamenti
• mettere in piedi misure per prevenire e gestire i data breach
• settare correttamente le condurre le proprie campagne di marketing
• comprendere che il soggetto interessato ha sempre diritto ad accedere, modificare e gestire in ogni modo i suoi dati (anche con la portabilità) fino a chiederne la cancellazione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Il Titolare del trattamento è l’azienda o l’ente a cui fa capo un intero processo di trattamento dei dati personali. È il titolare che da un lato comunica con l’interessato, cioè con l’individuo a cui si riferiscono i dati per garantire i suoi diritti, e dall’altro si interfaccia con l’Autorità Garante quando necessario. Tra le altre cose, il titolare del trattamento deve tenere un registro dei trattamenti e nominare un DPO quando previsto.

All’articolo 26 il GDPR introduce anche la co-titolarità del trattamento dei dati imponendo comunque ai diversi titolari di definire il rispettivo ambito di responsabilità e i compiti.

Il Responsabile del trattamento è l’organizzazione esterna al titolare designata per operare materialmente con i dati personali secondo le finalità comunicate all’interessato. Anche il responsabile del trattamento dovrà redigere il registro dei trattamenti e nominare se necessario un Data Protection Officer. Il Regolamento Europeo 16/679 consente anche la nomina di sub-responsabili (articolo 28) e introduce cambiamenti importanti su questa figura.

L’Addetto al trattamento – anche detto incaricato – è un’ulteriore figura già introdotta dalla 196, la legge italiana recentemente armonizzata con quella europea, i cui compiti sono solamente relativi alle operazioni di gestione quotidiana dei dati.

Il General Data Protection Regulation non prevede espressamente questa figura ma non la esclude facendo riferimento a “persone autorizzate al trattamento sotto l’autorità diretta del titolare o del responsabile”. Chiunque all’interno o all’esterno dell’organizzazione svolga questa attività dovrà essere sempre adeguatamente informato e quindi formato su come trattare i dati operativamente.

Grazie al metodico lavoro dello Staff di PrivacyLab siamo in grado di mettere a disposizione di tutti:

– un confronto sinottico tra la vecchia e la nuova 196.

– il nuovo testo completo (DL 196 integrato dal DL 101)

Secondo il GDPR la base giuridica cui far riferimento per le operazioni di trattamento dei dati personali è la valutazione della liceità di tali operazioni. Questo significa che il trattamento dei dati viene considerato legittimo in tutte le condizioni previste dal Regolamento EU 16/679 (in particolare l’articolo 6) ma – ed è questo il punto – anche se il trattamento viene esercitato per perseguire uno scopo del titolare, a meno che non siano prevalenti su tale scopo i diritti e le libertà fondamentali dell’interessato. Anche in assenza del consenso dell’interessato, quindi, il titolare può procedere al trattamento dei dati nel caso in cui ci sia un legittimo interesse.

Nel considerando n. 47 del General Data Protection Regulation si affronta proprio il tema del legittimo interesse. Ciò a cui si fa riferimento sono le “ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento”. In altre parole questo significa che se il titolare svolge in modo autonomo una valutazione di legittimo interesse allora si sta basando sul fatto che l’interessato si attende tale comportamento rispetto al trattamento dei propri dati vista la tipologia del loro contatto o rapporto in essere. Ma quali sono questi casi? Il rapporto tra cliente e fornitore, per esempio, o quello tra dipendente e datore di lavoro, ossia situazioni in cui è ovvio che verrà effettuato un trattamento dei dati personali per perseguire legittimi interessi.