venerdì 8 giugno 2018

Consulenza GDPR Lucca

Consulenze DPO Lucca

Consulenza aziende Lucca per conformita con GDPR 

La normativa GDPR regolamento Europeo 679/2018, prevede per chi tratta dati personali che essi siano tutelati attraverso misure di sicurezza, misure di protezione ed altri specifici adempimenti, come ad esempio l'obbligo di comunicazione nel caso di violazione dei dati medesimi.
il GDPR prevede la responsabilizzazione dei titolari sul cosa fare per tutelare i dati personali, attraverso l'autovalutazione per la conformità della propria azienda alle disposizioni previste dal regolamento Europeo 679/2018.
Il GDPR prevede inoltre Accountability della protezione dei dati per poter dimostare come si tutelano in azienda i dati personali.
Sono stati previsti dei registri delle attività dei trattamenti che il titolare e il responsabile del trattamento devono redigere per documentare gli adempimenti e le procedure attinenti ad ogni trattamento.
La normativa esclude le imprese con meno di 250 dipendenti, almeno che il trattamento che svolgono si riferisce a data sensibili o dati particolari quali dati giudiziari.
Comunque ove possibile si consiglia sempre la stesura di questi registri per provare che il titolare e il responsabile del tratamento agiscano in conformità con il regolamento europeo 679 del 2018.
L’art. 30 del Regolamento Europeo indica le informazioni che devono essere contenute nel
registro:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Il punto 2 prescrive, inoltre, che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un
titolare del trattamento.
Le altre funzioni del registro delle attività dei trattamenti.
La tenuta del registro non è solo un obbligo ma la sua redazione può avere anche altri scopi:
-Diffondere informazione, consapevolezza e condivisione interna;
-Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
Tali registri sono tenuti in forma scritta, anche in formato elettronico.


 Data Protection Officer (DPO) Lucca


 Il Data Protection Officer (DPO) in italiano Responsabile per la protezione dei dati personali (RPD)
Il Regolamento Europeo sulla protezione dei dati personali n. 2016/679 ha previsto in determinati casi, sia per gli enti pubblici sia per le aziende private, la designazione del Responsabile
per la protezione dei dati personali (RPD), anche detto Data Protection Officer.

I compiti del Data Protection Officer sono definiti dall’ art. 39 del Regolamento Europeo 679 del 2016 e sono di carattere consultivo in materia di privacy verso il titolare e del responsabile del trattamento,
e di  vigilanza  sull’osservanza del Regolamento europeo 679/2018 altresì di raccordo con l’Autorità Garante per la privacy, infatti L’articolo 37, par. 7 prevede che il titolare del trattamento o il responsabile del trattamento" pubblichi i dati di contatto del responsabile della protezione dei dati e li comunichi all’autorità di controllo.


Privacy by design: meglio prevenire che rmediare. L'utente al centro del sistema al fine della sua tutela.
Privacy by default: per impostazione predefinita ci deve essere la tutela del dato personale, devono essere adottati solo quelli strettamente necessari per l'esecuzione del servizio,
tutto ciò che non strettamente necessario deve richiesto espressamente. Tutti i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità
per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini
di archiviazione nel pubblico interesse.
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato: liceità, correttezza e trasparenza.



Sanzioni Previste

Per quel che concerne l’entità, le sanzioni amministrative pecuniarie sono distinte a seconda della gravità dell’illecito commesso (art. 83, commi 4,5,6 Reg. UE n. 2016/679). Nella prima fascia vi sono le sanzioni amministrative fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, connesse alla violazione degli obblighi del titolare e del responsabile del trattamento (artt. 8 e11; artt. 25-39;
artt. 42-43 Reg. UE n. 2016/679);
•la violazione degli obblighi dell’organismo di certificazione (artt. 42-43 Reg. UE n. 2016/679);
•la violazione degli obblighi dell’Organismo di controllo (art. 41, par. 4, Reg. UE n. 2016/679.
Nella seconda fascia sanzionatoria, che prevede sanzioni fino a un massimo di 20 milioni di
euro e 4% del fatturato, in caso di aziende, rientrano :
•la violazione dei principi di base del trattamento comprese le condizioni relative al consenso (artt. 5,6,7 e 9 Reg. UE n. 2016/679);
•la violazione dei diritti degli interessati (artt. 12-22 Reg. UE n. 2016/679);
•i trasferimenti di dati a un destinatario in un paese terzo o organizzazione internazionale (artt. 44-49, Reg. UE n. 2016/679);
•la violazione di qualsiasi obbligo previsto dalle legislazioni degli Stati membri a norma del capo IX;
Pubblicato da alle Nessun commento:
Etichette: , ,

giovedì 7 giugno 2018

Consulenza ed incarico DPO Pisa

Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO)


Cerchi un DPO per la provinciadi Pisa?

Vuoi incaricare un DPO pe la tua azienda di Pisa?


IN QUALI CASI E’ PREVISTO UN DPO O RPD?

 Dovranno designare obbligatoriamente un RPD: a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico RPD.


QUALI SONO I COMPITI DEL DPO? 

Il Responsabile della protezione dei dati dovrà, in particolare: a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità; b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA); c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati; d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento; e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

PERCHE' UN DPO PUO' EESERE D'AIUTO AD UNAAZIENDA A PRESCINDERE DALL'OBBLIGATORIETA' DELLA NOMINA?


 Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà: 1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze. 2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse . In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali; 3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti. Il DPO o RPD potrà sempre portare un valore aggiunto alle aziende graie alle sue competenze, che eviteranno che uno dei fattori più importanti della'zienda, cioè i dati aziendali  vengano tutelati e protetti.



Pubblicato da alle Nessun commento:
Etichette: , , ,
Iscriviti a: Commenti (Atom)