Pubblicato il

Aggiornamenti Covid-19 aziende, sistemi di gestione, 231, privacy

Sono stati aggiornati con nuovi documenti i seguenti servizi di aggiornamento

_ Alert Covid – luoghi di lavoro
Modello in MS Word di protocollo aziendale Covid-19 aggiornato al 18/1/2022

Alert ISO sistemi di gestione
Sono stati inseriti i kit documentali completi di manuale, procedure, modulistica, relativi a: ISO 27001, ISO 45001, SA 8000.
E’ stato inserito il software valutazione rischi asset aziendali per ISO 27001
Sono state inseriti contenuti di approfondimento

Alert Bandi per incarichi di consulenza
Sono stati inseriti nuovi bandi per incarichi di consulenza DPO, revisore dei conti, forniture software, consulenza e certificazione sistemi di gestione.

Alert 231
Abbonati per essere sempre aggiornato sulle novità inerenti i modelli 231, il D.lgs 231/01, i nuovi reati, la gestione dell’organismo di vigilanza e i bandi per incarichi di consulenza o membro/presidente organismo di vigilanza.
Incluso software e attestato per certificare il tuo aggiornamento annuale.

Clubdpo.com
Abbonati per essere sempre aggiornato su tutte le novità dell’attività del DPO e privacy.
Incluso software e attestato per certificare il tuo aggiornamento annuale.

Pubblicato il

DPO: errori da evitare nel redigere la relazione annuale

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO

    **********************************

    CLUBDPO.COM

    La soluzione pratica per l’aggiornamento continuo del DPO

    **********************************

  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sulla privacy .
Pubblicato il

Aggiornamento DPO e 231 – Nuovi reati presupposto

_ Privacy – DPO – GDPR – GREEN PASS
www.clubdpo.com è stato aggiornato con i seguenti contenuti
DPO attenzione! Ecco gli errori più comuni in ambito privacy nella gestione del Green Pass

_ D.lgs 231/01
Con il D.Lgs. 184/2021: esteso il Catalogo dei reati presupposto 231

********* Software e corsi on line D.lgs 231/01 ******
19B) Kit Aggiornamento modelli 231 Reati FISCALI
12) Kit 231 – Suite software per realizzare i modelli 231

13) ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
14) Corsi on line Esperto 231 ed Esperto ODV 231
20B) Software Check ODV 231 + certificato Check ODV 231 OK 
21B)  Software Autovalutazione modelli 231

Pubblicato il

Pubblicato Ispezione Garante Check Cookies GDPR

Software Ispezione Garante Check Cookies GDPR è il software che consente di individuare e correggere aspetti sanzionabili nei siti web, relativi alla corretta applicazione del Provvedimento del Garante Privacy relativo ai cookies, del 10/6/2021, in vigore dal 10/1/2022.

Risultati che puoi ottenere con questo software
1) rapida verifica conformità al Provvedimento Garante Privacy del 10/6/2021
2) illimitato numero di siti web gestibili
3) possibilità di personalizzare, stampare ed esportare la check list pre-caricata

Pubblicato il

Green pass e privacy: vietato ai datori conservare i QR code o fare copie

Il Garante per la protezione dei dati personali il 1° novembre ha messo in guardia gli utenti dallo scaricare App per la verifica del green pass che trattano dati in violazione delle disposizioni di legge, in alcuni casi trasferendoli anche a soggetti terzi. Il Garante ha ricordato che la App VerificaC19, rilasciata del Ministero della Salute, è l’unico strumento di controllo delle certificazioni verdi utilizzabile per garantire la privacy delle persone.

Green pass e privacy: vietato ai datori conservare i QR code o fare copie
Le aziende devono osservare una serie di adempimenti per tutelare i dati personali
Il Garante mette in guardia da app per il controllo diverse da VerificaC19

Il Garante per la protezione dei dati personali il 1° novembre ha messo in guardia gli utenti dallo scaricare App per la verifica del green pass che trattano dati in violazione delle disposizioni di legge, in alcuni casi trasferendoli anche a soggetti terzi. Il Garante ha ricordato che la App VerificaC19, rilasciata del Ministero della Salute, è l’unico strumento di controllo delle certificazioni verdi utilizzabile per garantire la privacy delle persone.

Dal 15 ottobre e fino al 31 dicembre 2021 (salvo proroghe), tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa, di formazione o di volontariato, nel mondo del lavoro, pubblico o privato, sono obbligati a esibire il green pass per accedere al luogo nel quale si svolge l’attività lavorativa. Il datore deve stabilire le procedure da osservare per i controlli e nominare gli incaricati alle verifiche che, all’ingresso o a campione, dovranno essere effettuate. Ma come possono essere trattati lecitamente i dati relativi ai controlli del green pass? E come viene tutelata la privacy dei lavoratori e dei collaboratori esterni che accedono ai luoghi di lavoro? I datori devono rispettare una serie di adempimenti anche sul versante della tutela della privacy.

In primo luogo, il datore di lavoro dovrà predisporre l’informativa sul trattamento dei dati in base all’articolo 13 del Gdpr, il Regolamento Ue 679/2016. L’informativa dovrà essere preventivamente comunicata agli interessati o esposta in sede di accesso di modo che l’interessato possa prenderne visione.

I dati personali trattati sono le generalità del lavoratore, la validità, l’integrità e l’autenticità del green pass o di una certificazione equivalente ovvero le informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid-19, riportate nella certificazione di esenzione dalla vaccinazione.

La finalità del trattamento è la prevenzione dal contagio da Covid-19, in base all’articolo 9-septies del Dl 52/2021, nonché di controllo dell’autenticità, validità e integrità della certificazione verde Covid-19 o della certificazione equivalente, compresa quella di esenzione dalla vaccinazione anti Covid.

La base giuridica del trattamento è nell’adempimento di un obbligo legge. Il datore di lavoro, inoltre, dovrà provvedere alla nomina degli incaricati alle verifiche del green pass quali soggetti incaricati allo svolgimento dei trattamenti dei dati personali connessi all’esercizio del compito sopra citato, in base all’articolo 2-quaterdecies del Dlgs 196/2003 e fornendo loro le istruzioni per i controlli. Se la verifica del green pass è effettuata da un soggetto esterno (ad esempio quando il controllo è effettuato da una società esterna cui sia appaltato il servizio di custodia e vigilanza), costui dovrà essere nominato responsabile esterno del trattamento in base all’articolo 28 del Gdpr.

Il datore di lavoro dovrà anche aggiornare il Registro dei trattamenti in base all’articolo 30 del Gdpr, prevedendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri (ad esempio i fornitori) che accedono ai luoghi di lavoro.

Sul tema della privacy, il Garante è intervenuto a proposito della richiesta di parere sul Dpcm del 12 ottobre 2021 (Provvedimento 363 dell’11 ottobre 2021), affermando che il controllo dei green pass non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari all’applicazione delle conseguenti misure.

Da questo punto di vista, quindi, riserva dubbi la pratica di stilare elenchi sui quali indicare i soggetti sottoposti a verifica. Non sarà lecito, poi, conservare il QR code delle certificazioni verdi, né estrarre lo stesso in qualsiasi altro modo. Da questo punto di vista, quindi, non dovranno essere effettuate e trattenute copie cartacee dei green pass, né screenshot, né fotografie del certificato verde. Nel provvedimento 363, inoltre, il Garante dà il via libera alla verifica del possesso del green pass anche con modalità alternative all’uso dell’applicazione VerifcaC19, come l’impiego di un pacchetto di sviluppo per applicazioni rilasciato dal ministero della Salute (con licenza open source), da integrare nei sistemi di controllo degli accessi, o il controllo tramite il portale Inps, utilizzabile dai datori con più di 50 dipendenti.

Fonte: Il Sole 24 Ore – 8/11/2021

Pubblicato il

Rinnovati i servizi di aggiornamento per DPO e consulenti 231

Sono stati rinnovati i servizi on line di aggiornamento:
_  www.alert231.it inerente i modelli 231 e il D.lgs 231/01
www.clubdpo.com per l’aggiornamento del DPO
con la formula dell’abbonamento LITE, una nuova formula che assicura di ricevere sui rispettivi argomenti, tutte le novità in maniera puntuale e veloce, ad un prezzo molto contenuto!

Gli abbonamenti GOLD assicurano inoltre software professionale da utilizzare per un numero illimitato di aziende.

Pubblicato il

Semplificare le informative privacy attraverso il metodo “Creative Commons” Protocollo tra Garante Privacy e Creative Commons

********* CLUBDPO.COM *************
Lo strumento di aggiornamento continuo per i DPO
***********************************************

Semplificare l’elaborazione delle informative privacy usando il metodo Creative Commons, il sistema attraverso il quale il contenuto e il significato delle licenze per la fruizione di contenuti protetti dal diritto d’autore sono tradotti in simboli standard, universali, generabili automaticamente attraverso un’apposita piattaforma.

Proseguendo nella sua azione di semplificazione degli adempimenti previsti dal Regolamento Ue, l’Autorità Garante italiana per la protezione dei dati personali ha siglato un protocollo d’intesa che avvia la collaborazione con il Capitolo italiano di “Creative Commons” (CC), un’organizzazione internazionale senza scopo di lucro.

L’obiettivo è quello di valutare la realizzabilità di un sistema sul modello di quanto finora realizzato da CC per il diritto d’autore, che consenta ai titolari del trattamento di generare in maniera automatica un’informativa semplice e chiara e, per questa via, permettere alle persone di acquisire maggiore consapevolezza sul contenuto delle informative riguardanti il trattamento dei loro dati personali.

Sebbene lo studio parta dall’analisi del contesto italiano, l’obiettivo finale è quello di creare un sistema da mettere a disposizione in tutti gli Stati membri europei per costruire un ambiente digitale in cui le questioni legate alla protezione dei dati siano gestite in modo coordinato nel mercato unico digitale.

L’Italia si candida in questo modo ad essere il primo Paese a sperimentare l’implementabilità del metodo Creative Commons al campo della privacy, con l’obiettivo di fare da apripista e condividere i propri risultati.

Pubblicato il

Privacy – Novità dal Garante Privacy

Pubblicata il 20/7/2021 la newsletter del Garante privacy, con le seguenti novità:

  1. Garante privacy: sì a maggiori tutele per i dati giudiziari
    Il Garante per la privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

    ********* CLUBDPO.COM *************
    Lo strumento di aggiornamento continuo per i DPO
    ***********************************************

  2. Fse: i pazienti hanno diritto di scegliere quali dati oscurare
    Il Garante Privacy sanziona due Aziende Sanitarie
    La normativa sul Fascicolo sanitario elettronico prevede che l’interessato possa oscurare dati e documenti presenti nel fascicolo che saranno così accessibili solo dallo stesso interessato e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o successivamente. A seguito del mancato rispetto della richiesta di oscuramento avanzata dai pazienti, il Garante ha sanzionato due Aziende sanitarie (la Usl della Romagna e l’Azienda Provinciale per i Servizi Sanitari di Trento), rispettivamente per 120.000 e 150.000 euro.

  3. Garante: sì alle Linee guida Agid sull’interoperabilità delle banche dati pubbliche
    Garantire l’innovazione della pubblica amministrazione, con banche date interoperabili e accessibili in sicurezza anche a soggetti privati, proteggendo integrità e riservatezza dei dati dei cittadini. Questo l’obiettivo dei due nuovi schemi di Linee guida previste dal Codice dell’Amministrazione Digitale su cui il Garante per la protezione dei dati personali ha espresso parere favorevole.

Pubblicato il

COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti

Cookie: dal Garante privacy nuove Linee guida a tutela degli utenti
No a scrolling e a cookie wall se non in casi particolari, limiti alla reiterazione della richiesta di consenso

Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno.

********* CLUBDPO.COM *************
Lo strumento di aggiornamento continuo per i DPO
***********************************************

L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Ecco, in sintesi, i principali contenuti nelle nuove Linee guida sui cookie.

Informativa

Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso

Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.

Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Pubblicato il

Privacy – Data Breach, come gestirlo senza errori

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare (entro 72 ore) la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Riassumiamo quindi i principali errori che la gestione di un data breach presenta.

  1. Assenza di una procedura scritta di gestione di un evento che comporta la violazione dei dati
  2. Assenza nella comunicazione agli interessati dell’avvenuto data breach, della natura della violazione  (es. se vi è stata una violazione della riservatezza)
  3. Ritardo nella comunicazione agli interessati
  4. Descrizione non realistica della violazione nella comunicazione
  5. Assenza nella comunicazione di consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione
  6. Utilizzare come strumenti di comunicazione all’interessato, i dati che si ritengono violati. Ad esempio non utilizzare l’email per inviare tale comunicazione, se la violazione riguarda proprio l’email. Valutare mezzi alternativi.

    UNA SOLUZIONE SOFTWARE PER IL DATA BREACH

    Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni, e fornisce le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’evento

    Il software funziona su un un algortimo che elabora i dati relativi a tre variabili come definite dalla procedura Enisa negli Anneex 1,2 e 3 :
    _ Contesto elaborazione dati
    _ Facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati
    _ Circostanze della violazione.

    L’utente deve scegliere per ogni variabile un valore definito dalla guida Enisa da un menù a tendina. Il software effettua in automatico il calcolo del livello di severità del databreach su 4 livelli: basso, medio, alto, molto alto.

    Per ogni livello di severità il software fornisce in automatico le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’evento

    In base a queste informazioni il titolare dei trattamenti dati può valutare che cosa fare. L’esito è stampabile e allegabile alla documentazione della gestione del data breach.
    Guarda la video demo