GDPR

 

Aggiornamento del 31/10/2018

 

 

 

 

    

 

 

 

 

 

TUTORIAL e MODULISTICA 

 

Per usare al meglio il prodotto per la gestione del GDPR 

 

 

Quanto pubblicato in area soci è in sintesi è il risultato schematico e operativo  di quanto illustrato dai rappresentanti della Saltech durante il corso che si è tenuto a Roma il 12 ottobre 2018 .

In aree soci sono stati inseriti tutti i modelli necessari per la gestione del GDPR sia in doc  (Singoli modelli ) sia in formato zip 

Inoltre potrete scaricare un modulo in formato pdf   per comprendere cosa è il GDPR e uno schema illustrativo del prodotto Saltech-Maiora-ANBBA , sempre in formato pdf 

 

 

 

 

 

Pubblicato in Gazzetta ufficiale il tanto atteso decreto di armonizzazione del GDPR 

Entrerà in vigore il 19 settembre 

Cominceranno i controlli già annunciati da parte della GdiF

 

Il testo nella sua stesura integrale è scaricabile in area soci in formato pdf  

Aree Tematiche - Area GDPR

 

DECRETO LEGISLATIVO 10 agosto 2018, n. 101 

 

Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). 

Il decreto Gdpr è uscito in Gazzetta Ufficiale nessuno ormai potrà temporeggiare è necessario adeguarsi alle nuove regole molto più restrittive di prima a tutela della privacy dei cittadini europei. Il decreto è il modo in cui l’Italia adegua la propria normativa alla rivoluzione privacy voluta dall’Europa, nota appunto con il nome di Gdpr (General data protection regulation).

  

 

 

Il Consiglio dei Ministri ha approvato in data 8 agosto 2018  il testo definitivo del decreto di armonizzazione dell’ordinamento italiano al Regolamento (UE) n. 679/2016, meglio noto come GDPR.  La Commissione Speciale ha espresso parere favorevole al testo che Presidente della Repubblica ha emanato in data 10 agosto  si attende la pubblicazione sulla gazzetta ufficiale - Non appena lo troveremo pubblicato  sarà nostra premura mettere la notizia e il testo ufficiale.

L’impianto generale del decreto legislativo appare immutato, con la sostituzione in blocco di alcuni Titoli e capi del D. l.vo n. 196/2003 e la modifica di specifici articoli, commi e parole, il nuovo testo contiene alcune precisazioni di rilevante impatto vedi su : www.agendadigitale.eu  :

https://www.agendadigitale.eu/sicurezza/privacy/nuovo-schema-di-decreto-gdpr-che-cambia-soggetti-designati-poteri-del-garante-sanzioni/

 

 

 

 

Decreto di armonizzazione

Si tratta del decreto legislativo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, previsto dall’art. 13 della legge di delegazione europea n. 163, del 25 ottobre 2017, predisposto per adeguare le disposizioni dell’ordinamento nazionale al nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679).Dallo schema emerge una variazione importate attuata dal legislatore delegato: non più un’abrogazione del vecchio Codice privacy (D.lgs. 30 giugno 2003, n. 196), ma un intervento accurato sullo stesso, volto ad eliminare gli elementi di contrasto con la nuova normativa europea.Infatti, in un primo momento si era pensato di abrogare il nostro Codice privacy e redigerne uno nuovo: scelta che aveva incontrato non poche critiche da parte di chi ci vedeva un eccesso di delega, considerando che l’art 13, comma 3, lett. a) della L. 163/2017, delegava il Governo ad “abrogare espressamente le disposizioni del codice in materia di trattamento di dati personali…incompatibili con le disposizioni contenute nel regolamento UE 2016/679”.E ancora, alla successiva lett. b), il legislatore è stato delegato a modificare il Codice “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento UE 2016/679”.Si comprende come lo scopo della legge delega è quello di intervenire nel modo tecnicamente più appropriato al raggiungimento del fine principale della delega stessa, che resta quello di adeguare l’intero quadro normativo interno al nuovo Regolamento europeo: con la conseguenza di non dover per forza abrogare in toto il precedente, ma solo intervenire su ciò che è incompatibile.

Continua a leggere su  ………………………..

https://legaldesk.it/blog/adeguamento-gdpr-garante-privacy

 

  

 

 

 

Il Regolamento è in vigore in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

Quali sono le principali novità introdotte dal GDPR?

Il GDPR disciplina la protezione dei dati delle persone fisiche con riferimento sia al trattamento sia alla libera circolazione di tali dati. Persegue due principali finalità:

sensibilizzare e rendere consapevoli gli “interessati” (le persone fisiche) nel momento in cui rendono disponibili i propri dati personali

responsabilizzare sia le imprese private sia le autorità pubbliche che utilizzano i dati personali nell’ambito delle loro attività

In sintesi:

Maggiori diritti dell’interessato in termini di privacy personale. Ossia:

I titolari devono dichiarare agli interessati, in modo trasparente, le finalità del trattamento e le misure di protezione dei dati

Maggiori doveri per le organizzazioni:

Il regolamento conferma che ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica; i titolari del trattamento dei dati sono tenuti a seguire un percorso di adeguamento alle norme, nel rispetto dei fondamenti di liceità del trattamento, che coincidono, in linea di massima, con quelli già previsti dal Codice privacy d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, obblighi di legge cui è soggetto il titolare, ecc.).
Il titolare deve sempre poter dimostrare che è stato fatto tutto il possibile per evitare e prevenire la diffusione non autorizzata di informazioni sensibili, fino anche all’autodenuncia se dovessero verificarsi violazioni o furti di archivi contenenti dati sensibili.

Il titolare è tenuto a:

Fornire informazioni chiare agli interessati della raccolta dei dati

Evidenziare gli scopi dell’elaborazione e i casi di utilizzo

Definire i criteri di conservazione e di eliminazione dei dati

Proteggere i dati personali con misure di sicurezza appropriate

Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni)

Segnalare alle autorità eventuali violazioni

Conservare la documentazione dettagliata

Formazione:

Obbligo di formare personale e dipendenti.

Cosa prescrive il nuovo regolamento?

Dal momento in cui si raccolgono dati personali, la loro protezione e l’uso per il quale si raccolgono le informazioni devono essere dichiarate ed organizzate in modo chiaro; non sarà possibile raccogliere o gestire dati senza specificarne la finalità, nel rispetto della norma

Diritto all’oblio degli interessati: non possono essere detenute le informazioni una volta venuto meno lo scopo

Principio di responsabilità (accountability): non c’è un elenco minimo di precauzioni da prendere ma in caso di richiesta dell’autorità o della divulgazione non autorizzata dei dati personali occorre dimostrare di aver fatto il possibile per proteggerli in base ai mezzi disponibili

Sanzioni: fino a 20 milioni di euro o fino al 4% del fatturato, comminate dall’autorità garante della privacy, e controlli da parte di Guardia di Finanza e tutte le forze di polizia

Queste modifiche influenzeranno i processi organizzativi del business di aziende e professionisti e si applicano a tutti, dalle autorità pubbliche alle piccole e medie imprese.

 

Dal sito Buffetti

 

 

 

ANBBA ha promosso un programma  riservato ai soci  che permetterà di gestire al meglio il GDPR 

Il programma è prenotabile  in line compilando l'apposito form 

 

 

 

 

Clicca compila e invia il form  

 

 

 

Come funziona il software

 

 

 

Le schede oggetto di compilazione sono progettate per far emergere eventuali criticità insite nei flussi di trattamento sotto il duplice aspetto della conformità alla normativa sulla privacy (safety) e della sicurezza fisica e informatica dei sistemi informativi (security).  Ciò vuol dire che se dalle risposte alle domande del titolare/legale rappresentante emerge una forte criticità, dal software "esce" un messaggio di allerta che specifica all'utente che verrà quindi contattato dall'Help Desk la quale sostanzialmente fa solo una cosa: 

- dice al titolare che ha necessità di una consulenza extra (uno studio analitico del suo caso) per risolvere le sue criticità, oppure risponde di nuovo alle domande facendo in modo di far generare il Registro.. 

Se invece, come dovrebbe accadere, il titolare risponde con un minimo di consapevolezza alle domande e la compilazione va a buon fine, la scheda viene finalizzata e il titolare riceve i due prodotti sottostanti ovvero:

 

1. il Registro dei trattamenti in formato .pdf che contiene la descrizione sistematica di tutti i trattamenti individuati dal titolare e gli altri parametri/ valutazioni richieste come misure minime di sicurezza dalla normativa vigente (ovvero art. 30 e Considerata del Garante) ovvero: i) la sicurezza dei locali fisici, ii) la sicurezza delle postazioni informatiche, iii) la sicurezza della rete, iv) la sicurezza del sito web.

2. una analisi del rischio ottenuta in via semiautomatica (ovvero senza sopralluogo del professionista) che dà al titolare l'idea dello stato del proprio sistema complessivo di sicurezza (cosiddetto sistema dei trattamenti che deve risultare di rischio basso o medio). Invece il sistema non dà output nel caso di rischio elevato e, come abbiamo detto sopra, tale rischio viene intercettato dal software in corso di compilazione con l'apparizione del messaggio di allerta che avverte il titolare che la ha necessità di una consulenza diretta (cosa che ci aspettiamo non avvenga mai nel caso del B&B).

3. Inoltre al momento, forniamo in automatico i seguenti documenti (inizialmente non erano compresi negli accordi, ma abbiamo lavorato sulle richieste degli associati e siamo riusciti ad automatizzare il processo):

 

1. contratto a responsabile esterno del trattamento

2. privacy policy

3. elenco dei diritti dell'interessato

4. consenso informato

5. un'unica informativa con due trattamenti: 

                              

 i) comunicazione alla questura / tassa di soggiorno

                              

ii) dati di clienti e fornitori per la gestione del servizio di alloggio

 

 

4. nel caso in cui nel B&B ci sia personale dipendente diverso dal legale rappresentante che tratta i dati dei clienti, dal software viene fornito un modulo prestampato con una serie di domande "retoriche" (nel senso che i dipendenti dovrebbero rispondere sempre "si") che descrivono le migliori pratiche di sicurezza (best practices) da mettere in atto nell'utilizzo delle postazioni informatiche (computer); nel caso in cui invece i dipendenti rispondano "no" sarebbe necessario ed auspicabile acquistare un pacchetto di formazione anche a distanza per garantire che il su indicato rischio rientri tra il basso e il medio.

 

NB: Qualora l'azienda necessiti di più trattamenti all'interno della suddetta informativa oppure necessiti di supporto che va oltre i tecnicismi sull’utilizzo del software sarà necessaria una consulenza diretta sul caso specifico che avrà ovviamente un costo extra rispetto all’acquisto del software (es sig.ra Innocenti: si prende il cellulare del cliente gli fa attaccare al cellulare tramite presa dell'audio un dispositivo hardware con cui il cliente effettua il pagamento rilasciando i dati della propria carta di credito. In questo caso l'informativa dovrà contenere uno specifico trattamento dobbiamo andare a studiare e che quindi richiede una consulenza specifica. Idem nel caso di video-sorveglianza).