23 settembre 2018
Sospensione nei controlli: ci sta o no?
22 settembre 2018
21 settembre 2018
20 settembre 2018
BUFALA Email con account hackerato e richiesta riscatto in bitcoin
BUFALA Email con account hackerato e richiesta riscatto in bitcoin: la Polizia Postale avverte
Siamo sempre "primi" e non sempre questo è una cosa "buona"
L' Italia si contraddistingue sempre per essere prematura in Europa:
✅ vuole la fattura elettronica prima degli altri paesi in Europa,
✅ anticipa di due anni l'età dei minori sui social.
✅ vuole la fattura elettronica prima degli altri paesi in Europa,
✅ anticipa di due anni l'età dei minori sui social.
In vigore da ieri, 19 settembre 2018, la nuova normativa che abbassa a 14 anni compiuti l’età minima per iscriversi autonomamente ai social network in deroga alle norme europee che la fissa invece a 16 anni. Si dividono due Garanti: quello per la privacy, favo
revole, e quello per l’infanzia, contrario.
19 settembre 2018
15 settembre 2018
Il tuo Gestionale è GDPR compliance?
Una organizzazione di qualsiasi dimensione che adotta un
sistema informatico gestionale che tratta dati personali non in modo conforme al
Regolamento UE 679/2016 di fatto rischia di essere sanzionata perché non ha adottato misure di sicurezza adeguate. Le responsabilità ricadono, in questo caso, sul titolare del trattamento e sul responsabile del trattamento, ove presente.
sistema informatico gestionale che tratta dati personali non in modo conforme al
Regolamento UE 679/2016 di fatto rischia di essere sanzionata perché non ha adottato misure di sicurezza adeguate. Le responsabilità ricadono, in questo caso, sul titolare del trattamento e sul responsabile del trattamento, ove presente.
11 settembre 2018
Il Gps aziendale deve essere disinseribile
Il cosiddetto
Gdpr, il Regolamento Ue 2016/679 in materia di privacy, ha trovato una sua
prima applicazione in materia di Gps installati sui veicoli aziendali. A dare
lo spunto per il provvedimento del Garante per la protezione dei dati personali
dello scorso 28 giugno il caso di un dipendente di una ditta specializzata
nella vendita di saldatrici che aveva contestato il monitoraggio continuo
dell’azienda anche al di fuori dell’orario di lavoro. I furgoni aziendali erano
infatti concessi in uso ai lavoratori anche per uso privato e l’impianto
satellitare di cui erano dotati ne consentivano il controllo costante. Oltre
alla localizzazione, venivano ricostruiti su mappa i percorsi effettuati dai
dipendenti, pause comprese, il consumo del carburante e i chilometri percorsi,
senza che venisse comunicata alcuna informativa o policy aziendale in
merito.
L’azienda si era difesa sostenendo che l’impianto era stato installato per motivi di sicurezza e per l’incolumità dei lavoratori. La pronuncia ha dato l’occasione al Garante per fissare alcuni importanti principi in tema di geolocalizzazione dei dipendenti, dopo l’entrata in vigore del Gdpr avvenuta il 25 maggio scorso. In particolare le aziende dovranno trattare i dati dei lavoratori in base al principio di minimizzazione, conservandoli per il periodo strettamente necessario: quello di 365 giorni adottato dall’azienda oggetto del provvedimento è stato ritenuto eccessivo. Dovrà, poi, essere consentito al lavoratore di disattivare il monitoraggio durante le pause o al termine dell’orario di lavoro.
Il provvedimento si segnala anche perché impartisce precise disposizioni alle società che forniscono i servizi di geolocalizzazione che dovranno rendere disponibili le funzioni di disattivazione del dispositivo senza eccessivi costi aggiuntivi.
Si ribadisce infine l’obbligo gravante sul titolare di effettuare la notifica al Garante prima di effettuare il trattamento dei dati.
L’azienda si era difesa sostenendo che l’impianto era stato installato per motivi di sicurezza e per l’incolumità dei lavoratori. La pronuncia ha dato l’occasione al Garante per fissare alcuni importanti principi in tema di geolocalizzazione dei dipendenti, dopo l’entrata in vigore del Gdpr avvenuta il 25 maggio scorso. In particolare le aziende dovranno trattare i dati dei lavoratori in base al principio di minimizzazione, conservandoli per il periodo strettamente necessario: quello di 365 giorni adottato dall’azienda oggetto del provvedimento è stato ritenuto eccessivo. Dovrà, poi, essere consentito al lavoratore di disattivare il monitoraggio durante le pause o al termine dell’orario di lavoro.
Il provvedimento si segnala anche perché impartisce precise disposizioni alle società che forniscono i servizi di geolocalizzazione che dovranno rendere disponibili le funzioni di disattivazione del dispositivo senza eccessivi costi aggiuntivi.
Si ribadisce infine l’obbligo gravante sul titolare di effettuare la notifica al Garante prima di effettuare il trattamento dei dati.
05 settembre 2018
Nuovi Reati Penali in Italia
In attesa che il Garante della Privacy proceda a promuovere e pubblicare una versione del vecchio D.Lgs.196/2003 coordinata col nuovo testo normativo D.Lgs. 101 del 10/08/2018, abbiamo nel frattempo il nostro Codice Penale che si arricchisce di nuovi reati:
➡️ trattamento illecito di dati,➡️ comunicazione illecita,➡️ diffusione illecita di dati,➡️ acquisizione fraudolenta di dati,➡️ false dichiarazioni al Garante,➡️ inosservanza provvedimenti del Garante
04 settembre 2018
In Gazzetta Ufficiale il GDPR Tutto Italiano
GDPR in Gazzetta Ufficiale.
Il testo, a lungo atteso, è finalmente stato pubblicato.
Si chiama D.Lgs. 101 del 10/08/2018.
Ora, però, basta a lavorare per l'Europa, pensiamo a lavorare per le PMI Italiane.
Tocca al Garante adesso il lavoro di dettare le regole per l’applicazione delle sanzioni amministrative e promuovere modalità semplificate di adempimento degli obblighi per le PMI.
Il testo, a lungo atteso, è finalmente stato pubblicato.
Si chiama D.Lgs. 101 del 10/08/2018.
Ora, però, basta a lavorare per l'Europa, pensiamo a lavorare per le PMI Italiane.
Tocca al Garante adesso il lavoro di dettare le regole per l’applicazione delle sanzioni amministrative e promuovere modalità semplificate di adempimento degli obblighi per le PMI.
03 settembre 2018
Differenza tra Incaricato Esterno e Responsabile Esterno
Autorizzato
al trattamento (incaricato)
Il regolamento europeo non prevede espressamente la figura dell'incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l'autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR).
Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all'azienda, nella pratica risulterebbe difficile. L'autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega.
Designazione e istruzioni operative
Il regolamento europeo non prevede l'obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore.
La designazione degli autorizzati può avvenire anche con unico atto per più persone. L'eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell'incarico e delle istruzioni fornite.
L'autorizzato deve, ovviamente, attenersi strettamente alle istruzioni ricevute.
La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento. Ugualmente, non rileva la circostanza che l'incarico sia a pagamento o gratuito, e nemmeno se il collaboratore è esterno (es. il lavoratore chiamato a riparare il computer che, ovviamente, può accedere ai dati ivi contenuti) invece che inquadrato nell'azienda.
In alcuni casi può sorgere il dubbio se designare un incaricato oppure nominare un responsabile. In genere ci si può orientare verso la nomina di responsabile quando, con riferimento alla quantità di dati e alla criticità degli stessi, appare necessaria una maggiore responsabilizzazione del soggetto, anche in ragione della maggiore autonomia operativa che può essergli concessa in via di una sua particolare specializzazione. L'incaricato, invece, è un mero esecutore di compiti.
Per fare qualche esempio, colui il quale elabora le paghe generalmente va designato responsabile, mentre chi si occupa della manutenzione e dell'assistenza del sistema informatico sarà incaricato. Se però la manutenzione viene affidata ad un'azienda, che manda all'occorrenza diversi soggetti, è preferibile nominare l'azienda stessa quale responsabile esterno, in modo che non occorra nominare caso per caso incaricati le persone inviate per le operazioni.
Il regolamento europeo non prevede espressamente la figura dell'incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l'autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR).
Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all'azienda, nella pratica risulterebbe difficile. L'autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega.
Designazione e istruzioni operative
Il regolamento europeo non prevede l'obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore.
La designazione degli autorizzati può avvenire anche con unico atto per più persone. L'eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell'incarico e delle istruzioni fornite.
L'autorizzato deve, ovviamente, attenersi strettamente alle istruzioni ricevute.
La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento. Ugualmente, non rileva la circostanza che l'incarico sia a pagamento o gratuito, e nemmeno se il collaboratore è esterno (es. il lavoratore chiamato a riparare il computer che, ovviamente, può accedere ai dati ivi contenuti) invece che inquadrato nell'azienda.
In alcuni casi può sorgere il dubbio se designare un incaricato oppure nominare un responsabile. In genere ci si può orientare verso la nomina di responsabile quando, con riferimento alla quantità di dati e alla criticità degli stessi, appare necessaria una maggiore responsabilizzazione del soggetto, anche in ragione della maggiore autonomia operativa che può essergli concessa in via di una sua particolare specializzazione. L'incaricato, invece, è un mero esecutore di compiti.
Per fare qualche esempio, colui il quale elabora le paghe generalmente va designato responsabile, mentre chi si occupa della manutenzione e dell'assistenza del sistema informatico sarà incaricato. Se però la manutenzione viene affidata ad un'azienda, che manda all'occorrenza diversi soggetti, è preferibile nominare l'azienda stessa quale responsabile esterno, in modo che non occorra nominare caso per caso incaricati le persone inviate per le operazioni.
La Formazione è importante
Il Garante, in sede ispettiva e per il tramite della GdF potrebbe richiedere di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed analizzare il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, consultare le banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza ).
Iscriviti a:
Post (Atom)