Consulenza Privacy e DPS
- Analisi preliminare
- Consulenza
- Elaborazione parte documentale
- Misure minime di sicurezza
- Formazione del personale
- Consulenza ed assistenza anni successivi
Labor Security ti consente di affrontare la tematica della privacy in modo semplice ed efficace
Che cos’è la privacy aziendale
La privacy aziendale comprende le normative, procedure e politiche che le aziende devono adottare per proteggere i dati personali e sensibili di dipendenti, clienti e altri stakeholder. È un obbligo legale, disciplinato da leggi come il GDPR, e un fattore di fiducia per i clienti, che garantisce la conformità normativa, la sicurezza dei dati e la reputazione aziendale.
La Labor Security, offre consulenza in ambito privacy, garantendo un servizio altamente qualificato, per consentire alle aziende di affrontare la tematica della privacy in modo semplice ed efficace, evitando il rischio di pesanti sanzioni. Gli adempimenti adottati saranno trasformati, da semplici obblighi di legge, a procedure che miglioreranno la produttività e l’immagine aziendale.
Analisi preliminare
- Analisi dell’azienda
- Analisi trattamenti e flussi
- Censimento dati personali e sensibili, archivi cartacei e banche dati digitali
- Check up sistema informatico
Consulenza
- Stesura dell’ “organigramma della privacy”
- Individuazione e designazione dei “responsabili” interni del trattamento dei dati
- Individuazione e designazione dei “responsabili esterni” (studi professionali, call center, servizi in outsourcing)
- Individuazione e designazione degli incaricati al trattamento dei dati
- Individuazione degli autorizzati al trattamento di dati sensibili ed eventuale autorizzazione all’utilizzo di elaboratori
- Individuazione delle modalità attraverso le quali comunicare l’elenco aggiornato dei responsabili
Elaborazione parte documentale
- Studio e redazione delle informative (clienti, fornitori, dipendenti, etc) e delle formule di richiesta del consenso
- Stesura atti di designazione dei responsabili ed incaricati al trattamento dei dati, con relative istruzioni scritte
- Stesura del Documento Programmatico di Sicurezza (redazione dps)
- Stesura ed invio telematico dell’atto di notificazione al Garante (se necessario)
Misure minime di sicurezza
- Elaborazione delle norme di sicurezza da adottare per la loro conservazione degli archivi cartacei e delle banche dati digitali in cui sono conservati i dati
- Indicazioni riguardanti l’adeguamento alle misure minime di sicurezza per i trattamenti dati cartacei
- Indicazioni riguardanti l’adeguamento alle misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici
Formazione del personale e consulenza anni successivi
- Corso di formazione del personale riguardante la normativa in materia di Privacy
- Aggiornamento del Documento Programmatico sulla Sicurezza
- Verifica dell’osservanza delle norme organizzative e delle procedure di trattamento adottate per gli adempimenti
- Verifica dell’osservanza e del regolare impiego delle misure di sicurezza
- Consulenza ai vari settori dell’impresa e assistenza nella redazione di atti
- Revisione periodica delle informative, delle formule di richiesta del consenso ed elaborazione di nuove informative eventualmente necessarie
- Aggiornamento e pubblicazione dell’elenco dei responsabili
- Stesura e consegna dei verbali di ispezione
F.A.Q.
Il Decreto Legislativo n. 196 del 30 giugno 2003 (Codice della Privacy), definisce una serie di adempimenti organizzativi e procedurali ed un elenco di misure minime di sicurezza in materia di trattamento dei dati personali, ai quali:
tutte le aziende,
studi professionali,
pubbliche amministrazioni,
strutture sanitarie,
ecc. devono uniformarsi.
Lo scopo di tali adempimenti, resi obbligatori dal Decreto in questione, è quello di definire un livello minimo di protezione dei dati personali dai rischi di:
distruzione o perdita, anche accidentale dei dati stessi,
accesso non autorizzato,
trattamento non consentito,
trattamento non conforme alle finalità della raccolta.
Il mancato rispetto di tali norme porta a sanzioni anche molto pesanti.
Il D.P.S. è l’unico documento in grado di attestare l’adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro il 30 GIUGNO 2005 ed alla scadenza fissata al 31 di marzo di ogni anno.
Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.
Il Garante ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.
Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante.
Ma vediamo più da vicino quali sono questi punti o regole.
Elenco dei trattamenti di dati personali: individuare i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc. ) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate a l Garante anche in passato.
Distribuzione dei compiti e delle responsabilità: descrizione sintetica dell’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari ) , indicando le precise modalità per reperirli.
Analisi dei rischi che incombono sui dati: descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati.
Misure in essere e d a adottare: riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire , contrastare o ridurre gl i effetti relativi ad una specifica minaccia ) , come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
Criteri e modalità di ripristino della disponibilità dei dati:descrivere i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati . L’importanza di queste attività deriva dall’ eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
Pianificazione degli intervent i formativi previsti:riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.
Trattamenti affidati all’esterno: redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (non ché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi.
Cifratura dei dati o separazione dei dati identificativi: vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura – o laseparazione fra dati identificativi e dati sensibili, nonchè i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti.
Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie.
MOTIVO
OBBLIGO
Tutti coloro che trattano dati personali e/o sensibili* sia tramite strumenti informatici che in forma cartacea.
* Es. buste paga/certificati mediciAdeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale
Tutti coloro che trattano dati sensibili e/o giudiziari tramite strumenti informatici e rientrano nelle casistiche definite dal Garante
Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale.
NOTIFICA AL GARANTE.Tutti coloro che rientrano nelle casistiche definite dal Garante e trattano dati personali in modo informatico o manuale
Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale.
NOTIFICA AL GARANTE.
| ILLECITO | SANZIONE AMMINISTRATIVA | SANZIONE PENALE |
| INADEGUATEZZA DELLE MISURE DI SICUREZZA | DA € 10.000 A € 50.000 | RECLUSIONE FINO A DUE ANNI |
| OMESSA O INIDONEA INFORMATIVA ALL’INTERESSATO | DA € 3.000 A € 18.000 per violazione dei dati ex art. 13 | X |
| ALTRE FATTISPECIE (violazione art. 16, comma 1 – cessazione del trattamento) | DA € 5.000 A € 30.000 | X |
| OMESSA O INCOMPLETA NOTIFICAZIONE | DA € 10.000 A € 60.000 + eventuale sanzione accessoria: pubblicazione ordinanza ingiunzione | X |
| OMESSA INFORMAZIONE O ESIBIZIONE AL GARANTE | DA € 4.000 A € 24.000 | X |
| TRATTAMENTO ILLECITO DEI DATI | X | RECLUSIONE DA 6 MESI A 3 ANNI in base alla gravità dell’illecito |
| FALSITA’ NELLE DICHIARAZIONI O NOTIFICAZIONI A GARANTE | X | RECLUSIONE DA 6 MESI A 3 ANNI |
| INOSSERVANZA DI PROVVEDIMENTI DEL GARANTE | X | RECLUSIONE DA 3 MESI A 2 ANNI |
| INOSSERVANZA DELL’ART. 171 | X | DA € 50 A € 500 o ARRESTO DA 15 gg A 1 ANNO (elevabile al quintuplo) |
• Il Codice in materia di protezione dei dati personali
• Legge n. 675 del 31 dicembre 1996 – Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali – Testo consolidato con il d.lg. 28 dicembre 2001, n. 467
