1 GDPR 2016/679 Archives - MOG 231 - Modelli di Organizzazione e Gestione | MOG 231 – Modelli di Organizzazione e Gestione
Passa al contenuto
Modello di organizzazione e di gestione 231

Posts from the ‘GDPR 2016/679’ Category

22
Apr

Cosa bisonga fare in caso di violazione dei dati personali che compromettono la privacy delle persone fisiche?


In caso di violazione dei dati il Titolare deve dare comunicazione all’Autorità di controllo (Garante Privacy) entro 72 ore e comunque senza ingiustificato riguardo, soltanto se si ritenga che da questa violazione possano derivare rischi per i diritti e le libertà degli interessati.

La segnalazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico, nel più breve tempo possibile, e deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.

Nella comunicazione deve inoltre essere indicato il Responsabile della Protezione dei dati (c.d. Data Protection Officer), con i relativi dati di contatto.

Se la probabilità di tali rischi è elevata devono essere avvisati anche i singoli interessati.

Le Violazioni possono essere molte ad esempio:
  •      Perdita dei dati;
  •      Furto dei dati;
  •      Alterazioni di cartelle cliniche;
  •      Alterazioni di cartelle esattoriali;
  •      Alterazione di verbali relativi al codice della strada;
  •      invio dei dati all’esterno non autorizzati;
  •      intercettazione dei dati accesso abusivo al sistema informatico; ecc.
Per consulenze Privacy, assunzione incarico DPO, iscrizione ai corsi e partecipazione ai seminari sul Regolamento europeo GDPR 2016/679, chiamare MODI al numero 0415412700 o visitare i siti internet www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.


22
Apr

Quali sono i contenuti minimi della dichiarazione al garante della Privacy?


La segnalazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico, nel più breve tempo possibile, e deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.

Nella comunicazione da inviare al Garante Privacy deve inoltre essere indicato il nominativo e i recapiti di contatto del  Responsabile della Protezione dei dati/Data Protection Officer).

Quindi i contenuti minimo sono:
  • Comunicare contatti del responsabile della protezione dei dati;
  • Descrivere le probabili conseguenze della violazione;
  • Indicare le misure che sono state adottate per rimediare alla violazione.
Nel caso in cui la notifica all’autorità di controllo non sia effettuata entro le previste 72 ore, il titolare può comunque inviare la sopra citata notifica, ma è tenuto ad allegare anche un documento in cui illustri i motivi del ritardo. Natura della violazione, le categorie e il numero complessivo di di interessati in questione.

MODI assume l'incarico di DPO. Dal 1998 operiamo nella consulenza di organizzazione aziendale in P.M.I. del Veneto e del Nord Est. Sviluppiamo progetti formativi finanziati da FONDIMPRESA proponendo i corsi a catalogo.

Per un preventivo di consulenza privacy compila il veloce questionario cliccando qui

Per consulenze aziendali, affidamento incarico DPO,  iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it
11
Apr

Regolamento (UE) 2016/679: protezione alla libera condivisione di dati personali

Il Regolamento Europeo 2016/679 noto anche come GDPR è volto a proteggere la circolazione e condivisione di dati personali, è applicato in tutti i paesi dal 25 maggio 2018. Chi non si adegua è soggetto a sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo. Il Regolamento 2016/679 prevede che venga regolata la diffusione dei dati personali anche all'esterno dell'Europa, vista la vastità di dati presenti in rete e le connessioni tra i diversi Paesi del mondo. Prima di utilizzare i dati personali di persone fisiche dovrà avere un consenso esplicito da parte loro. Contattare i consulenti esperti della società di consulenza MODI S.r.l. al numero verde 800300333.
Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
11
Apr

Regolamento (UE) 2016/679: protezione alla libera condivisione di dati personali

Il Regolamento Europeo 2016/679 noto anche come GDPR è volto a proteggere la circolazione e condivisione di dati personali, è applicato in tutti i paesi dal 25 maggio 2018. Chi non si adegua è soggetto a sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo. Il Regolamento 2016/679 prevede che venga regolata la diffusione dei dati personali anche all'esterno dell'Europa, vista la vastità di dati presenti in rete e le connessioni tra i diversi Paesi del mondo. Prima di utilizzare i dati personali di persone fisiche dovrà avere un consenso esplicito da parte loro. Contattare i consulenti esperti della società di consulenza MODI S.r.l. al numero verde 800300333.
Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
8
Apr

Quando il titolare Privacy può effettuare il trattamento dei dati?

 
Secondo il Regolamento Europeo GDPR 2016/679, ogni trattamento dei dati personali deve essere dato attraverso una dichiarazione o azione positiva inequivocabile.
L'autorizzazione scritta al trattamento del dato personale, deve essere "LIBERA, SPECIFICA, INFORMATA E INEQUIVOCABILE" e no tacito o presunto come per esempio con caselle già spuntate in un modulo pre compilato. Quindi il titolare Privacy può effettuare il trattamento dei dati solo quando:
  • l’interessato ha dato il consenso per una o più finalità;
  •  sono necessari per un contratto di cui l’interessato è parte o in caso di misure precontrattuali;
  •  serve adempiere ad un obbligo legale;
  •  si deve salvaguardare gli interessi vitali dell’interessato;
  •  è necessario svolgere un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  • si deve perseguire il legittimo interesse del Titolare a condizione che non prevalgano i diritti dell’interessato il quale richiede la protezione dei dati SPECIALMENTE SE È UN MINORE.
Per il  consenso ai trattamenti dei dati personali  raccolti prima del 25 maggio 2018 resta valido se rispetta le regole di cui sopra.
MODI SRL con sedi in Venezia, Mestre e Spinea assume l'incarico di Responsabile della protezione dei dati (altrimenti detto Data Protection Officer, o DPO).
I nostri 5 DPO sono Consulenti, esperti e qualificati, che affiancano il Titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente. Per consulenze adempimenti privacy, iscrizione ai corsi e partecipazione ai seminari sul Regolamento Europeo  chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
 
 
3
Apr

Secondo il Regolamento UE Privacy 2016/679, chi è tenuto a redigere il Registro delle attività di trattamento?

Sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD), tutti i titolari e i responsabili del trattamento dei dati personali delle persone fisiche. In ambito privato, i soggetti obbligati sono:
  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati. Sono tenuti all’obbligo di redazione del registro, ad esempio:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); - liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); - associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); - il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento). Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
Si invita altresì a consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045
 
fonte: sito Garante Privacy
Per consulenze Privacy, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
25
Mar

Privacy – Trasferimento dei dati personali all’estero e circolazione dei dati extra UE.

MODI assume incarico di DPO: DATA PROTECTION OFFICER ovvero Responsabile della protezione dei dati  e garantisce la corretta gestione dei dati personali, la loro conservazione e il loro trasferimento.. Come avviene il trasferimento dei dati personali all’estero e la circolazione degli stessi nei Paesi extra UE?. La circolazione dei dati all'estero è vietata al di fuori dell’UE a meno che: -    Il paese si sia adeguato e ciò sia stato riconosciuto da parte della commissione Europea art 44 -    In assenza di decisioni di adeguatezza da parte della commissioni ci siano delle garanzie di natura contrattuale art 44 c 1 lettera a. -    In assenza di ogni altro presupposto utilizzo di deroghe Le novità del regolamento permettono quindi si esportare i dati se: -    il paese è adeguato secondo la commissione -    sulla base delle clausole contrattuali -    sulla base di norme che vincolano il paese terzo come da articolo 47, senza attendere il consenso del garante come previsto dall’art 44. Il DIVIETO di trasferimento dati ad un paese terzo per decisioni ordinanze dello stesso paese terzo. I presupposti validi per il trasferimento dei dati si trovano nel art 49. Come nota bene, potremmo aggiungere che,  è lecito trasferire dati personali di una persona fisica ad un paese terzo sole se ciò è di interesse pubblico riconosciuto dal diritto dello Stato membro del titolare del trattamento del dato,  ma  non per far valere l’interesse del Paese terzo. Per consulenze aziendali, incarico di DPO, iscrizione ai corsi e partecipazione ai seminari sul Regolamento europeo GDPR 2016/679 chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
 
 
28
Feb

Quali sono le informazioni che vanno fornite a MODI per redigere una proposta di Consulenza per la Privacy?

Generalmente è preferibile eseguire un sopralluogo presso la sede dell'Azienda interessata. MODI dal 1998 opera in Veneto e nel Nord Est, ma grazie alla formazione erogata in modalità online ha clienti in tutta Italia.
MODI mette a disposizione il numero verde 800300333 gratis anche da mobile per la richiesta di informazioni quali per esempio i costi della consulenza e un apposito questionario da compilare cliccando qui.
Per un preventivo PRIVACY i dati che ci servono per una proposta sono: -    Numero di postazioni pc -    Archivio dei dati cartaceo/informatico -    Armadi con chiavi -    Server -    Modalità di Backup -    Utilizzo e archivio CV -    Utilizzo e archivio Buste Paga -    Utilizzo home banking -    Antivirus e firewall -    Soggetti Responsabili al trattamento dei dati -    Soggetti Autorizzati al trattamento dei dati -    Amministratore di sistema -    Privacy manager -    Vengono rilasciate informative -    Videosorveglianza -    Politica di cancellazione dati -    Cartelle sanitarie -    Gestione password utenti
MODI assume il ruolo di "responsabile della protezione dei dati" (altrimenti detto Data Protection Officer, o DPO).
Il DPO è una figura che viene nominata dal titolare o dal responsabile del trattamento e che può essere selezionata tra gli stessi dipendenti del titolare del trattamento, oppure può essere un libero professionista, esterno e autonomo, appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.
I nostri DPO sono Consulenti, esperti e qualificati, che affiancano il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiutamo a rispettare la normativa vigente.
ll DPO, ha un ruolo  da tenere ben distinto da quello del responsabile del trattamento che è il soggetto che affianca, per compiti e responsabilità, il titolare stesso.
E' proprio per facilitare questa distinzione ed evitare confusione che preferiamo utilizzare il termine inglese Data Protection Officer e del relativo acronimo DPO).
Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
 
23
Feb

Cosa fare in poche mosse per Adeguarsi al Regolamento Privacy secondo il GDPR 2016/679?

E' possibile adeguarsi al GDPR 2016/679 contenendo i tempi e i costi. Se si, come? Questa domanda è tra le più gettonate. Noi di MODI tendiamo a rispondere elencando le attività che a nostro giudizio sono da fare La prima è la "Valutazione della compilance" ovvero una  descrizione della realtà aziendale e una analisi/valutazione della documentazione in uso; la seconda attività è  la creazione del registro dei Trattamenti che è un documento volto a tenere traccia dei trattamenti svolti dal titolare o dal responsabile con indicate le finalità del trattamento, categorie degli interessati e della tipologia di dati personali, destinatari, gli eventuali trasferimenti verso paesi terzi e le misure di sicurezza adottate; La terza fase è la  stesura o la modifica della documentazione secondo quanto indicato nel GDPR; La quarta attività è l'Individuazione dei ruoli e delle responsabilità. Con l'individuazione dei responsabili e del DPO va formalizzato in modo scritto il loro incarico; Il quinto punto è la Definizione delle politiche di sicurezza e valutazione dei rischi. La valutazione e attuazione delle corrette tecniche di trattamento del dato, conformemente a quanto indicato dal GDPR; Il sesto punto è il "Processo di data Breach" che porta quindi a stilare una reportistica che porta ad indagare sulle cause e sugli effetti in caso di violazione subita; La settima attività è la "Valutazione d’impatto sulla protezione dei dati"quindi il titolare effettua delle valutazioni sull’impatto dei dati trattati in maniera preventiva prima che questi vengano gestiti; L'ottava fase è l'implementazione dei processi per l’esercizio dei diritti dell’interessato con l'adozione dei provvedimenti; La nona fase è l'individuazione e nomina di un Data Protection Officer: figura che osserva valuta e organizza la gestione del trattamento del dato presso le aziende e che controlli che la gestione avvenga secondo le normative europee e nazionali vigenti; La decima è uno scadenziario dove indicare quando, come e chi verifica se  l'Organizzazione e il Suo staff ha recepito le "regole" privacy osservandole puntualmente. Per consulenze Privacy, incarico di DPO, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.  
23
Feb

Cosa fare in poche mosse per Adeguarsi al Regolamento Privacy secondo il GDPR 2016/679?

E' possibile adeguarsi al GDPR 2016/679 contenendo i tempi e i costi. Se si, come? Questa domanda è tra le più gettonate. Noi di MODI tendiamo a rispondere elencando le attività che a nostro giudizio sono da fare La prima è la "Valutazione della compilance" ovvero una  descrizione della realtà aziendale e una analisi/valutazione della documentazione in uso; la seconda attività è  la creazione del registro dei Trattamenti che è un documento volto a tenere traccia dei trattamenti svolti dal titolare o dal responsabile con indicate le finalità del trattamento, categorie degli interessati e della tipologia di dati personali, destinatari, gli eventuali trasferimenti verso paesi terzi e le misure di sicurezza adottate; La terza fase è la  stesura o la modifica della documentazione secondo quanto indicato nel GDPR; La quarta attività è l'Individuazione dei ruoli e delle responsabilità. Con l'individuazione dei responsabili e del DPO va formalizzato in modo scritto il loro incarico; Il quinto punto è la Definizione delle politiche di sicurezza e valutazione dei rischi. La valutazione e attuazione delle corrette tecniche di trattamento del dato, conformemente a quanto indicato dal GDPR; Il sesto punto è il "Processo di data Breach" che porta quindi a stilare una reportistica che porta ad indagare sulle cause e sugli effetti in caso di violazione subita; La settima attività è la "Valutazione d’impatto sulla protezione dei dati"quindi il titolare effettua delle valutazioni sull’impatto dei dati trattati in maniera preventiva prima che questi vengano gestiti; L'ottava fase è l'implementazione dei processi per l’esercizio dei diritti dell’interessato con l'adozione dei provvedimenti; La nona fase è l'individuazione e nomina di un Data Protection Officer: figura che osserva valuta e organizza la gestione del trattamento del dato presso le aziende e che controlli che la gestione avvenga secondo le normative europee e nazionali vigenti; La decima è uno scadenziario dove indicare quando, come e chi verifica se  l'Organizzazione e il Suo staff ha recepito le "regole" privacy osservandole puntualmente. Per consulenze Privacy, incarico di DPO, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.