ANNULLAMENTO DEL PRIVACY SHIELD: I POSSIBILI INTERVENTI OPERATIVI A SEGUITO DELLE RACCOMANDAZIONI DELL’EDPB

/in , /by

Un altro contributo del nostro Sebastiano Plutino su un tema molto attuale.

Le Raccomandazioni pubblicate dall’EDPB lo scorso 10 novembre e attualmente in consultazione suggeriscono ai Titolari del trattamento una metodologia di approccio in 6 step e forniscono alcune indicazioni.

In che modo possono essere applicate?

Il tema riguarda tutti coloro che utilizzano piattaforme informatiche e servizi di larga diffusione (posta elettronica, web-conference, cloud …)

Vediamo insieme le soluzioni possibili.

L’articolo è consultabile al seguente link https://aifos.org/home/news/int/interventi_commenti/comitato_europeo_per_la_protezione_dei_dati_indicazioni_operative

ANNULLAMENTO DEL PRIVACY SHIELD: IPOTESI OPERATIVE

/in , /by

Un contributo di Sebastiano Plutino su un tema “caldo” e con un futuro poco chiaro.

Proviamo a dare qualche risposta alla domanda “Come incide la sentenza Schrems II sulla mia attività quotidiana?”, nell’attesa di indicazioni operative da parte delle autorità competenti

L’intero contributo è sul sito AiFOS al seguente link: https://aifos.org/home/news/int/interventi_commenti/l_annullamento_del_privacy_shield

Buona lettura!

LA PROTEZIONE DEI DATI PERSONALI NELLE IMPRESE

/in , /by

Conoscere e applicare la normativa

Disponibile in formato cartaceo, E-PUB e PDF

La revisione della normativa sulla protezione dei dati personali affida alle imprese la responsabilità dell’intero ciclo di vita dei dati che esse trattano per svolgere la propria attività.

Questo volume si propone di contribuire allo sviluppo di una nuova consapevolezza e di fornire alle imprese, di ogni tipo e dimensione, gli strumenti per orientarsi nel mondo della protezione dei dati personali.

È redatto con un linguaggio non specialistico, include numerosi esempi pratici ed è corredato da tabelle, infografiche e schemi riepilogativi per supportare al meglio la costruzione del “sistema privacy” aziendale.


Il volume è acquistabile al link https://www.tecnichenuove.com/prodotto/la-protezione-dei-dati-personali/

Privacy: anno nuovo – ripartono i corsi di formazione

/in /by

Il 6 e il 7 febbraio 2020

saremo a Milano, presso la sede di IS&FM a Via Colleoni 9, per un corso di formazione di due giornate  sulla protezione dei dati personali.

Nella prima giornata (dalle 9 alle 18)

esamineremo insieme gli interventi normativi operati dal legislatore nazionale per adeguare l’ordinamento italiano al Regolamento (UE) 2016/679 e alla Direttiva (UE) 2016/680.

Approfondiremo inoltre alcuni aspetti relativi ai trattamenti propri di settori specifici, con uno sguardo particolare alla pubblica amministrazione (accesso civico,  trattamenti sanitari, whistleblowing, istruzione).

Nella seconda giornata (dalle 9 alle 18)

vi proporremo un role play dal taglio estremamente operativo.

I partecipanti lavoreranno in gruppo, calandosi “nei panni” dell’impresa, per analizzare un caso pratico.

Al termine delle attività, ciascun gruppo di lavoro illustrerà all’aula la propria esperienza.

Il role play prevede il supporto del docente (come facilitatore) e l’utilizzo di materiale di supporto per l’organizzazione del lavoro di gruppo.

La partecipazione è riservata a tutti coloro che operano nel settore della protezione dei dati personali e vogliono aggiornare le proprie competenze.

Cliccare qui

per la scheda di iscrizione e informazioni dettagliate sul programma.

Vi aspettiamo!

Il team di privacyinchiaro.

 

La protezione dei dati personali nelle imprese – Conoscere e applicare la normativa sulla Privacy e il GDPR

/in /by

È stato pubblicato il nuovo libro sulla protezione dei dati personali scritto dalla nostra socia Paola Limatola.

Il punto di partenza è semplice quanto perentorio: la revisione della normativa affida alle imprese la responsabilità dell’intero ciclo di vita dei dati personali che esse trattano per svolgere la propria attività.

Le implicazioni derivanti dall’esercizio di questa responsabilità sono molteplici e rendono perciò necessario affrontare la tematica con un approccio diverso da quello usato in passato. Per questo motivo, le imprese sono chiamate a un profondo mutamento culturale.

Il volume si propone di contribuire allo sviluppo di una nuova consapevolezza e di fornire alle imprese, di ogni tipo e dimensione, gli strumenti per orientarsi nel mondo della protezione dei dati personali.

Redatto con un linguaggio non specialistico, include numerosi esempi pratici ed è corredato da tabelle, infografiche e schemi riepilogativi per supportare al meglio la costruzione del “sistema privacy” aziendale.

Disponibile in formato cartaceo, in E-PUB e in PDF, lo trovate (o potete ordinarlo) in libreria o direttamente sul sito della società editrice al seguente link:

 https://www.tecnichenuove.com/prodotto/la-protezione-dei-dati-personali/

Il volume è edito da Tecniche Nuove, protagonista del mercato editoriale dal 1960 e leader nel settore dell’editoria specializzata. Grandi, medie e piccole imprese trovano nei suoi testi uno strumento utilissimo di supporto al business e alle tematiche specialistiche.

 

CORSO AiFOS “I PROFESSIONISTI DELLA PRIVACY”

/in /by

Una bellissima esperienza la nostra partecipazione come docenti al Corso organizzato da AiFOS Associazione Italiana Formatori ed Operatori della Sicurezza sul lavoro  e progettato da Privacy in Chiaro.

Molta partecipazione in classe e corsisti che mostrano un grande interesse per la materia.  Il prossimo incontro via webinar, poi di nuovo in aula.

Grazie ai partecipanti per la loro energia e ad AiFOS per l’organizzazione impeccabile!

 

GDPR – I Responsabili interni – Nomina SI o NO?

/in /by

Gli obblighi di nomina del Responsabile.

La nomina del Responsabile del Trattamento illustrata all’articolo 28 del GDPR è una nomina obbligatoria che attribuisce al Responsabile una gran quantità di compiti e oneri.  Le indicazioni fornite nell’articolo in questione descrivono perfettamente le caratteristiche del Responsabile esterno del trattamento.

I Responsabili interni e gli incaricati.

In Italia, l’applicazione della normativa Privacy è stata caratterizzata negli anni anche dalla figura del Responsabile interno del trattamento. A questa, il Titolare poteva delegare una serie di responsabilità in merito al trattamento dei dati personali effettuati dall’impresa. Trattandosi di una tipicità italiana, non è strano che il GDPR non ne faccia alcun cenno.

Dal punto di vista della normativa europea, chiunque, all’interno di una organizzazione, effettui operazioni di trattamento è «persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare».

Il GDPR non fa alcun riferimento alla necessità di «nominare» formalmente queste persone, tra le quali sono compresi anche gli incaricati (secondo la definizione del Codice Privacy).

In merito alle operazioni di trattamento dei dati personali, tutto quello che avviene dentro un’impresa si colloca nell’ambito del rapporto di lavoro instaurato tra il Titolare e i propri dipendenti e/o collaboratori e fa riferimento alle mansioni assegnate a questi ultimi.  Sono ovviamente esclusi fatti di rilevanza penale, per i quali la responsabilità è individuale.

L’accountability del Titolare e le nomine interne.

Il Titolare ha l’obbligo di formare e informare dipendenti e collaboratori (di qualunque livello e grado) in merito alla protezione dei dati personali trattati dall’impresa e alle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento. Poiché può essere chiamato a render conto delle proprie scelte, affiderà i compiti – ai propri dipendenti, ai dirigenti e ai collaboratori – in modo consapevole e ragionato.

La nomina formale di un incaricato o di un responsabile interno non diminuisce in alcun modo la responsabilità del Titolare.

Ad esempio, il direttore dell’Ufficio del Personale di un’impresa è ovviamente responsabile del trattamento dei dati personali effettuato all’interno della direzione organizzativa affidatagli; si tratta di un compito insito nel ruolo svolto e non di un dovere discendente da una nomina scritta.

La nomina dell’articolo 28.

La nomina del Responsabile ai sensi dell’articolo 28 del GDPR può implicare, tra le altre cose, la tenuta di un Registro dei trattamenti o l’implementazione di misure di sicurezza e richiede inoltre, obbligatoriamente, la sottoscrizione di uno specifico contratto.

Ma il contratto tra Titolare e dipendente o tra Titolare e dirigente già esiste. È il contratto di lavoro. Come è possibile pensare che la protezione dei dati personali trattati dal Titolare – ovviamente implicita in qualsiasi contratto di lavoro – possa richiedere un contratto ad hoc? Sarebbe un paradosso.

Per tutto quello che abbiamo detto, l’unica nomina obbligatoria, formalizzata ed espressamente richiamata dalla normativa, è quella relativa alla designazione dei Responsabili esterni del trattamento.

Assegnazione di responsabilità in realtà complesse.

Esistono però realtà più complesse di quelle a cui abbiamo fatto riferimento.

Pensiamo per esempio alle aziende di una Regione, diverse tra loro per ambito e finalità di trattamento (diciamo per mercato di riferimento) in cui le responsabilità sono assegnate e ripartite in funzione degli statuti del singolo ente.

Il Regolamento lascia intravedere la possibilità di trovare valide alternative per dirimere situazioni più complesse. Il criterio della contitolarità, ad esempio, potrebbe in alcune situazioni essere utilmente impiegato per assegnare in modo trasparente le rispettive responsabilità e la titolarità del trattamento (o parte di essa) all’interno di realtà organizzative molto articolate.

Diverse valutazioni sono attualmente in corso. Alcuni Titolari sceglieranno di mantenere in qualche modo una continuità con il passato e «rinfrescheranno» le nomine interne esistenti. Non è questa la sede per approfondire il tema e attendiamo di sapere se fonti autorevoli rilasceranno indicazioni pratiche nel merito.

Si fa presente a questo proposito che la recente legge 167/2017, all’articolo 28, ha modificato l’art. 29 del Codice Privacy e ha stabilito che il Garante predisporrà schemi tipo di atti giuridici che i Titolari potranno adottare per la stipula del rapporto con i responsabili del trattamento.

Si spera che dalla pubblicazione di tali schemi tipo emergano elementi di maggiore chiarezza.

Semplicità e buon senso.

In linea generale, è bene che siano la semplicità e il buonsenso a guidare le scelte dei Titolari.

Incamminarsi in un percorso “formalizzato” senza che ve ne sia un reale motivo produrrà solo un aumento di carta (e di burocrazia interna) e non diminuirà in alcun modo il livello di responsabilità del Titolare in merito ai trattamenti effettuati dall’organizzazione.

Come bisogna comportarsi, quindi, con le attuali nomine dei responsabili interni? Devono essere riviste? Con quali criteri?

Posto che, come abbiamo detto, non ci sono obblighi, ciascuno sceglierà la strada che meglio si adatta alle proprie esigenze.

Conclusioni.

Se un’impresa ritiene di voler aggiornare le nomine interne attualmente esistenti può farlo ma deve considerarle solo un modo per trasmettere informazioni e focalizzare l’attenzione del personale sull’importanza di proteggere i dati personali oggetto di trattamento.

Lo stesso obiettivo, come abbiamo già detto, può essere raggiunto con altri strumenti: la pubblicazione di una politica sulla protezione dei dati personali, un regolamento interno, un disciplinare che fornisce istruzioni e assegna compiti alle funzioni organizzative.

Quello che dev’essere chiaro è che il ruolo del Responsabile esterno è del tutto diverso da quello di un eventuale Responsabile interno: mentre il primo è un’entità – fisica o giuridica – “altra” rispetto al Titolare e da questo autonoma, il secondo ne è diretta emanazione e, in merito al trattamento dei dati personali, è una “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare”.

Se questo è assodato, il Titolare è padrone di scegliere in piena libertà la modalità più adatta per trasmettere le istruzioni al proprio personale.

CONOSCERE E IMPLEMENTARE LA PRIVACY

/in /by

Il video racconta come è strutturata la guida pensata  per  imprese, consulenti, enti e responsabili della protezione dei dati e spiega come è possibile ordinarla.

Ricordiamo che  la prima parte del volume può essere richiesta, a titolo gratuito, a: www.privacyinchiaro.it/conoscere-e-implementare-la-privacy/  

GDPR: La gestione del rischio associato al trattamento dei dati personali

/in /by

Il rischio è un evento incerto o un insieme di eventi che, se si verificassero, potrebbero avere un effetto sul raggiungimento degli obiettivi aziendali; è perciò opportuno stimarlo e, successivamente, sviluppare strategie per governarlo.

L’attività di risk management relativa alla protezione dei dati personali è solo una declinazione della gestione del rischio aziendale e della sua governance; i rischi individuati dovranno quindi essere opportunamente valutati e successivamente inseriti, alla pari degli altri, all’interno della mappa dei rischi aziendali.

Nel caso specifico, poiché stiamo trattando il tema dei rischi associati alla protezione dei dati personali, i beni da proteggere – o asset primari – sono per l’appunto i dati personali e i processi impiegati per il loro trattamento.

Una corretta valutazione dei rischi non può prescindere dall’analisi dello specifico contesto in cui opera l’organizzazione.

Questo passo preliminare dev’essere compiuto anche per la valutazione dei rischi connessi al trattamento dei dati personali, perché è indispensabile avere una chiara rappresentazione degli asset a supporto del trattamento dei dati personali.  Ci riferiamo, per esempio, ad architetture hardware, piattaforme, software, reti ICT, ma anche a persone, documenti cartacei e modalità di distribuzione, conservazione e distruzione di questi ultimi.

Gli eventi incerti da cui è necessario proteggersi al fine di garantire l’integrità, la disponibilità e la riservatezza dei dati personali trattati possono essere legati a:

  • indisponibilità dei processi, ovvero i processi non esistono più o non funzionano più;
  • accesso illegittimo ai dati personali da parte di persone non autorizzate;
  • alterazioni o modifiche accidentali dei dati personali;
  • indisponibilità dei dati personali;
  • trattamento difforme da quello inizialmente previsto (deviazione dalla finalità definita, eccessiva o scorretta raccolta dei dati …).

Si procede quindi con l’identificazione dei rischi, che è possibile suddividere secondo le seguenti categorie:

  • rischi legati al comportamento delle persone;
  • rischi relativi agli strumenti di lavoro;
  • rischi relativi al contesto in cui si opera.

A ciascun rischio identificato sarà successivamente assegnato il valore relativo di probabilità e impatto per determinarne il peso e compilare la matrice probabilità-impatto.

Per maggiori informazioni sulla gestione del rischio inerente il trattamento dei dati personali e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy”.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

 

Sebastiano Plutino relatore al seminario formativo SAEV sul GDPR

/in /by

Sebastiano Plutino ha partecipato in veste di relatore al seminario di approfondimento sulle novità introdotte dal Regolamento europeo 679/2016.

Il seminario, rivolto alla pubblica amministrazione locale, è stato organizzato da SAEV in collaborazione con l’Anci e con il patrocinio della Regione Marche e si è tenuto il giorno 22 settembre 2017 presso la Residenza Domus Stella Maris di Ancona.

Al link seguente è possibile richiedere i materiali del seminario: https://www.saev.biz/eventi-seminari/82-seminario-formativo-sul-nuovo-regolamento-europeo-679-16-in-materia-di-protezione-dei-dati-personali.