Consulenza Privacy e Consulenza Adempimenti Privacy e DPS

La Labor Security, offre consulenza in ambito privacy, garantendo un servizio altamente qualificato, per consentire alle aziende di affrontare la tematica della privacy in modo semplice ed efficace, evitando il rischio di pesanti sanzioni. Gli adempimenti adottati saranno trasformati, da semplici obblighi di legge, a procedure che miglioreranno la produttività e l’immagine aziendale.

Da Maggio 2018 è entrato in vigore il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali gestiti da soggetti pubblici e privati. Il GDPR mette in evidenza che, l’obbligo di gestire la sicurezza di dati personali non deve ridursi ad azioni ed interventi sporadici in situazioni di emergenza, ma, deve portare all’implementazione di un vero e proprio modello organizzativo atto a garantire il raggiungimento degli obiettivi aziendali in materia di sicurezza dati.
Grazie all’esperienza acquisita negli anni sui sistemi di gestione Labor Security srl propone i seguenti servizi:

I nostri servizi

AUDIT INIZIALE

Analisi dell’azienda per valutarne lo stato iniziale e monitorare nel tempo la gestione dei dati e verifica degli adempimenti da attuare e l’individuazione di quali di essi sono obbligatori per l’azienda in esame.

Consulenza

  • Stesura dell’ “organigramma della privacy”
  • Individuazione e designazione dei “responsabili” interni  e dei “responsabili esterni” (Responsabile, DPO, Incaricato, ecc).
  • Lettere di nomine

Elaborazione parte documentale

  • Studio e redazione delle informative (clienti, fornitori, dipendenti, etc) e delle formule di richiesta del consenso
  • Stesura atti di designazione dei responsabili ed incaricati al trattamento dei dati, con relative istruzioni scritte
  • Stesura del Valutazione dei rischi associati ai trattamenti  – DPIA (dove vengono valutati i rischi identificando gli asset significativi, la vulnerabilità e le minacce, l’impatto economico del danno ed i tempi di ripristino)
  • Generazione dei registri delle attività del trattamento dei Titolari e dei Responsabili

Comunicazione Data Brech

  • Assistenza per la comunicazione della violazione al Garante entro le 72 ore  con  la generazione del modulo di comunicazione da firmare digitalmente e da inviare a mezzo PEC

Formazione del personale

  • Formazione del personale riguardante la normativa in materia di Privacy per singolo incaricato

Non esitate a contattarci per qualsiasi dubbio o per una richiesta di Audit presso la vostra azienda per verificare l’attuale stato di adeguamento alla normativa vigente in materia di trattamento dei dati personali e gli eventuali rischi ai quali si è sottoposti

Per saperne di più

– La Privacy   
– Cos’è il D.P.S. Documento programmatico sulla Sicurezza?
– Chi deve adeguarsi?
– Le Sanzioni
– La Normativa

La Privacy

Il Decreto Legislativo n. 196 del 30 giugno 2003 (Codice della Privacy), definisce una serie di adempimenti organizzativi e procedurali ed un elenco di misure minime di sicurezza in materia di trattamento dei dati personali, ai quali:

tutte le aziende,
studi professionali,
pubbliche amministrazioni,
strutture sanitarie,
ecc. devono uniformarsi.

Lo scopo di tali adempimenti, resi obbligatori dal Decreto in questione, è quello di definire un livello minimo di protezione dei dati personali dai rischi di:

  • distruzione o perdita, anche accidentale dei dati stessi,
  • accesso non autorizzato,
  • trattamento non consentito,
  • trattamento non conforme alle finalità della raccolta.

Il mancato rispetto di tali norme porta a sanzioni anche molto pesanti.

Cos’è il Dps – documento programmatico sulla sicurezza?

 Il D.P.S. è l’unico documento in grado di attestare l’adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro il 30 GIUGNO 2005 ed alla scadenza fissata al 31 di marzo di ogni anno.

Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.
Il Garante ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.
Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante.

Ma vediamo più da vicino quali sono questi punti o regole.

  • Elenco dei trattamenti di dati personali: individuare i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc. ) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate a l Garante anche in passato.
  • Distribuzione dei compiti e delle responsabilità: descrizione sintetica dell’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari ) , indicando le precise modalità per reperirli.
  • Analisi dei rischi che incombono sui dati: descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati.
  • Misure in essere e d a adottare: riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire , contrastare o ridurre gl i effetti relativi ad una specifica minaccia ) , come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
  • Criteri e modalità di ripristino della disponibilità dei dati:descrivere i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati . L’importanza di queste attività deriva dall’ eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
  • Pianificazione degli intervent i formativi previsti:riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.
  • Trattamenti affidati all’esterno: redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (non ché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi.
  • Cifratura dei dati o separazione dei dati identificativi: vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura – o laseparazione fra dati identificativi e dati sensibili, nonchè i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti.
    Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie.

Chi deve adeguarsi?

 

MOTIVO

OBBLIGO

Tutti coloro che trattano dati personali e/o sensibili* sia tramite strumenti informatici che in forma cartacea.
* Es. buste paga/certificati medici

 

Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale

Tutti coloro che trattano dati sensibili e/o giudiziari tramite strumenti informatici e rientrano nelle casistiche definite dal Garante

 

Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale.
NOTIFICA AL GARANTE.

Tutti coloro che rientrano nelle casistiche definite dal Garante e trattano dati personali in modo informatico o manuale

 

Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale.
NOTIFICA AL GARANTE.

Le Sanzioni

ILLECITO SANZIONE AMMINISTRATIVA

SANZIONE PENALE

INADEGUATEZZA DELLE MISURE DI SICUREZZA

DA € 10.000 A € 50.000

RECLUSIONE FINO A DUE ANNI

OMESSA O INIDONEA INFORMATIVA ALL’INTERESSATO

DA € 3.000 A € 18.000 per violazione dei dati ex art. 13
DA € 5.000 A € 30.000 per violazione dei dati sensibili o giudiziari (elevabile fino al triplo)

X

ALTRE FATTISPECIE (violazione art. 16, comma 1 – cessazione del trattamento)

DA € 5.000 A € 30.000

X

OMESSA O INCOMPLETA NOTIFICAZIONE

DA € 10.000 A € 60.000 + eventuale sanzione accessoria: pubblicazione ordinanza ingiunzione

X

OMESSA INFORMAZIONE O ESIBIZIONE AL GARANTE

DA € 4.000 A € 24.000

X

TRATTAMENTO ILLECITO DEI DATI

X

RECLUSIONE DA 6 MESI A 3 ANNI in base alla gravità dell’illecito

FALSITA’ NELLE DICHIARAZIONI O NOTIFICAZIONI A GARANTE

X

RECLUSIONE DA 6 MESI A 3 ANNI

INOSSERVANZA DI PROVVEDIMENTI DEL GARANTE

X

RECLUSIONE DA 3 MESI A 2 ANNI

INOSSERVANZA DELL’ART. 171

X

DA € 50 A € 500 o ARRESTO DA 15 gg A 1 ANNO (elevabile al quintuplo)

La Normativa Italiana

Il Codice in materia di protezione dei dati personali

Legge n. 675 del 31 dicembre 1996 – Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali – Testo consolidato con il d.lg. 28 dicembre 2001, n. 467

 

Non esitate a contattarci per qualsiasi dubbio o per una richiesta di Audit presso la vostra azienda per verificare l’attuale stato di adeguamento alla normativa vigente in materia di trattamento dei dati personali e gli eventuali rischi ai quali si è sottoposti