1 GDPR 679 Archives - MOG 231 - Modelli di Organizzazione e Gestione | MOG 231 – Modelli di Organizzazione e Gestione
Passa al contenuto
Modello di organizzazione e di gestione 231

Posts from the ‘GDPR 679’ Category

8
Mar

FAQ sul registro delle attività di trattamento – quali informazioni deve contenere?

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).
  •  nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;
  • nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
  • nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;
  • nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);
  • nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
  • nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
  • Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it
7
Gen

RDP Responsabile della Protezione Dati personali in materia di privacy

 
Il Regolamento Generale sulla protezione dei dati GDRP 2016/679, prevede che, in alcune circostanze, venga nominato all'interno dell'azienda un Responsabile della Protezione dei Dati e che quest'ultimo sia sostenuto dal titolare e dal responsabile del trattamento dei dati quali dovranno mettere a sua disposizione le risorse necessarie per assolveregli incarichi previsti dall'articolo 39.
Più complicati sono  i trattamenti da fare e maggiori devono essere le risorse incaricate a sostenere ilResponsabile della Protezione Dati personali in materia di privacy.
Solo dopo aver valutato in dettaglio la complessità del trattamento a cui si sottoporranno i dati si potrà valutare la necessità o meno di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Questo non esclude l'obbligo di individuare in ogni caso un Responsabile della Protezione dei Dati.
Per avere maggiori informazioni in materia di GDPR 2016/679 contattare lo Staff esperto di MODI S.r.l. disponibile al numero gratuito 800300333. Nel nostro sito www.consulenzaprivacyregolamentoue679.it sarà possibile visionare le risposte alle domande più frequenti in materia di privacy.
Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it
12
Apr

Regolamento GDPR 2016/679? Tutti i professionisti dovranno adeguarsi alle nuove regole in materia di trattamento dati personali

L'applicazione del regolamento 2016/679 sulla protezione dei dati personali delle persone fisiche non dipende dalle dimensioni dell’azienda/organizzazione, ma dalla natura delle sue attività e si applica a ogni azienda o enti che trattano dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati.
Le aziende con più di 250 dipendenti devono tenere un registro delle loro attività di trattamento e nominare un DPO.
Ogni Azienda anche piccola o media impresa (PMI) che tratta i dati personali deve rispettare il regolamento UE 2016/679.  Se il trattamento dei dati personali non è una parte essenziale di un'attività e quest’ultima  non crea rischi per le persone, alcuni obblighi del GDPR non si applicheranno come ad esempio, la nomina di responsabile della protezione dei dati). Per "attività essenziale" si intende che l’elaborazione di dati personali delle persone fisiche  costituisce una parte fondamentale dell’attività del titolare o del responsabile del trattamento.
 
Una delle più importanti novità del GDPR consiste nella responsabilizzazione (in inglese “accountability”) di titolari e responsabili.
I titolari e responsabili devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Pertanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
MODI si propone alle PMI del Veneto per le attività di Consulenza necessarie ad adottare il Regolamento UE 679.
Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.