Home » PROGETTO PRIVACY

PROGETTO PRIVACY

La Nostra Consulenza con la Vostra collaborazione

Il Centrofad invierà a FADSERVICE un modello contenente i riferimenti del cliente che si vuole adeguare.

La consulenza si articola così come segue:

Fadservice invia al cliente una mail dove sono indicate le credenziali per accedere a una checklist;
Il cliente compila la checklist sulla base delle sue conoscenze, chiedendo, eventualmentel'assistenza di un nostro consulente;
Al termine della compilazione la checklist verrà inviata automaticamente a FADSERVICE; nella stessa sarà indicato il referente che sarà contattato dal consulente per ulteriori delucidazioni;
L'intervista riguarderà i punti carenti o non compilati della checklist evidenziando eventuali anomalie nel comportamento e suggerendo le relative correzioni;

Per perfezionare la consulenza e l'adeguamento totale alle norme occorre un certo periodo di tempo. Considerato che, il GDPR è entrato in vigore il 25 maggio 2018, per consentire al cliente di dimostrare, in caso di eventuale controllo, che è in corso l'adeguamento e quindi evitare sanzioni, all'atto dell'accettazione del contratto, FADSERVICE rilascerà un'attestazione dalla quale risulterà la situazione di cui sopra.

Verranno successivamente inviate al cliente Via email

“Report sull’adozione del GDPR”;
Registri del Trattamento ai sensi dell’art.30 del GDPR
Modello organizzativo del sistema per la protezione dei dati e per la sicurezza delle informazioni
“Modelli di Informativa” e “Accordi ed Incarichi”;
Tutti gli atri registri previsti dalla normativa.

Per completare l'adeguamento, il responsabile del trattamento dei dati dovrà svolgere un corso di formazione online ricevendo il relativo attestato a conferma della sua preparazione nel settore del trattamento dei dati.

La consulenza si svolgerà in modo altamente professionale: saranno costantemente monitorate le scadenze, gli aggiornamenti e le nuove normative.

I nostri consulenti possono essere interpellati in occasione di controlli effettuati dalle autorità proposte alla sorveglianza.

Si è soggetti al regolamento 679/2016 sul trattamento dei dati personali per il solo fatto di intrattenere rapporti continuativi con clienti, fornitori e dipendenti.

A titolo esemplificativo si precisa che il DPIA è sempre obbligatorio

nel caso di monitoraggio periodico (es. videosorveglianza)
nel caso di decisioni automatizzate che producono significativi effetti giuridici (es. Assunzioni)
trattamento dati personali su vasta scala

Vi terremo continuamente informati sull'andamento della pratica

RICHIEDI DETTAGLI

La Normativa

Dal 25 maggio 2018 è in vigore il Regolamento (UE) 2016/679 relativo al trattamento dei dati, denominato(GDPR-General Data Protection Regulation)

Il GDPR disciplina la protezione dei dati delle persone fisiche con riferimento sia al trattamento sia alla libera circolazione di tali dati. Persegue due principali finalità:

sensibilizzare e rendere consapevoli gli “interessati” (le persone fisiche) nel momento in cui rendono disponibili i propri dati personali
responsabilizzare sia le imprese private sia le autorità pubbliche che utilizzano i dati personali nell’ambito delle loro attività

Pertanto:

Sono attribuiti maggiori diritti all’interessato in termini di privacy personale.
I titolari del trattamento devono dichiarare agli interessati, in modo trasparente, le finalità del trattamento e le misure di protezione dei dati.

In sintesi il titolare del trattamento è tenuto a :

Fornire informazioni chiare agli interessati della raccolta dei dati
Evidenziare gli scopi dell’elaborazione e i casi di utilizzo
Definire i criteri di conservazione e di eliminazione dei dati
Proteggere i dati personali con misure di sicurezza appropriate
Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni)
Segnalare alle autorità eventuali violazioni
Conservare la documentazione dettagliata
Il consenso al trattamento dei dati DEVE essere "esplicito", libero, informato e specifico
La diretta conseguenza è l’inammissibilità di un consenso tacito o presunto, come potrebbe avvenire nei casi delle caselle pre-spuntate.
Il consenso NON deve essere necessariamente "documentato per iscritto", nonostante spesso questa modalità venga considerata la più idonea per il suo essere esplicito.
Il titolare DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso ad uno specifico trattamento.
Il consenso dei minori è valido a partire dai 16 anni. Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Il consenso al trattamento così reso potrà inoltre essere sempre revocato, senza limiti di sorta, da parte degli interessati.
Vengono espressamente previsti sia il diritto all’oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che il diritto alla portabilità degli stessi da un titolare del trattamento ad un altro su richiesta degli interessati.
Viene poi introdotto il concetto della protezione dei dati personali “by design” e “by default”, ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse
In capo ai titolari del trattamento vengono altresì previsti l’obbligo di compiere una “valutazione d’impatto” iniziale per i trattamenti di dati più delicati e l’obbligo di tenere un registro delle attività relative al trattamento stesso.
I titolari del trattamento sono, inoltre, soggetti ad un obbligo di notifica di eventuali violazioni di dati personali di cui siano venuti a conoscenza verso i Garanti nazionali e/o gli interessati.
Per gli enti pubblici e gli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui, viene introdotta la figura del c.d. Data protection officer(DPO): un soggetto, dipendente o professionista esterno all’ente, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, dall’altro, direttamente con il Garante.
Infine, il regime sanzionatorio subisce un sensibile inasprimento: nel caso di violazioni delle norme previste dal Regolamento, infatti, sono previste sanzioni pecuniarie per un minimo di € 10.000 fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.

Regolamento UE 679/2016 [1.000 Kb]

Il Processo di adeguamento

Il percorso per adeguarsi al GDPR prevede i seguenti step:

1. ANAGRAFE AZIENDALE

2. LE SEDI: Si indicheranno le sedi operative o di produzione dell' azienda, ed il relativo indirizzo

3. ANAGRAFICHE DEI SOGGETTI COINVOLTI: Si identificheranno i soggetti parte dell’organizzazione aziendale, persone fisiche e giuridiche, coinvolte nella gestione della privacy, indicandone le mansioni aziendali.

4. CREAZIONE DELLA DPIA (acronimo di Data Protection Impact Assessment).

Queste sono le figure coinvolte nel trattamento

TITOLARE DEL TRATTAMENTO, ovvero la persona fisica o giuridica, l'autorità pubblica o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

RESPONSABILE DEL TRATTAMENTO, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

DPO – Data Protection Officer - il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
1.quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
2.quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3.quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

SOGGETTI AUTORIZZATI, ovvero tutti i soggetti che, in funzione delle proprie mansioni aziendali entrano in contatto a vario titolo con il dati personali oggetto di trattamento.

CHI DEVE ADEGUARSI

Si è soggetti al regolamento 2016/679 sul trattamento dei dati personali per il solo fatto di intrattenere rapporti continuativi con clienti, fornitori e dipendenti.
Si sarà soggetti al Gdpr indipendentemente dalle modalità con il quale venga effettuato il trattamento;in maniera automatizzata,semiautomaticzzata,tradizionale.

Si evidenzia che il DPIA è obbligatorio anche nel caso siano presenti soltanto

monitoraggio periodico (es. videosorveglianza)
decisioni automatizzate che producono significativi effetti giuridici (es. Assunzioni)

Formazione obbligatoria

La GDPR prescrive all’art. 29 che chiunque tratta dati personali deve essere stato istruito dal Titolare.

Nella Sezione 4 dedicata al DPO si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda.

L’obiettivo del nostro corso d è formare il personale addetto al trattamento dei dati personali, sulla base quindi della normativa in tema di sicurezza e tutela delle informazioni personali, con il rilascio di un attestato idoneo.

Il corso privacy online può essere seguito su piattaforma e-learning, avendo accesso in maniera del tutto gratuita al materiale didattico e alla consulenza di un tutor. Al termine del corso si potrà sostenere l’esame finale, al superamento del quale si riceverà l’attestato

Facendo frequentare ai tuoi dipendenti e collaboratori un Corso Privacy FADSERVICE, in caso di controlli da parte della Guardia di Finanza o del Garante Privacy, sarai in grado di dimostrare di aver correttamente adempiuto agli obblighi di formazione privacy imposti dal Codice Privacy.

INVIA MODELLO RICHIESTA DEL CLIENTE Un nostro consulente ti richiamerà per tutte le informazioni

Adempimenti per violazioni

In caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo, ove possibile entro 72 ore dal momento della conoscenza, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche. La ritardata notifica dovrà essere corredata di giustifica motivata.

L’art.33 comma 3 prevede che siano espressamente indicati

La descrizione, la natura della violazione, le categorie di dati violati e il numero (anche approssimativo) di interessati;
Descrivere le possibili conseguenze della violazione;
Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione
Il nome e i contatti dell’eventuale DPO;
Eventuale comunicazione ed il suo contenuto notificata ai contraenti o parti interessate in generale e il canale utilizzato per l’invio dell’avviso;
Le misure tecnologiche e organizzative assunte per contenere gli effetti negativi della violazione e prevenire nuovi episodi in futuro.

Il documento così redatto e generato in formato PDF, dovrà essere sottoscritto con firma digitale dal Titolare del trattamento ed inviato a mezzo PEC – Posta elettronica certificata – all’indirizzo dcrt@pec.gpdp.it, o databreach.pa@pec.gpdp.it se trattasi di PA.

SANZIONI

Assumono particolare rilevanza le nuove sanzioni previste dal GDPR, ben più gravose rispetto al sistema sanzionatorio del Codice Privacy. Il Titolare può essere tenuto a versare, quale sanzione amministrativa pecuniaria, da un minimo di € 10.000,00 fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.