Pubblicato il

Sei un consulente? Iscriviti agli Albi Professionali di Edirama per acquisire nuovi contatti professionali

Oggi ti segnalo 4 nuovi strumenti per aiutarti a sviluppare la tua attività professionale.
Albo consulenti sistemi di gestione
Albo consulenti sicurezza del lavoro
Albo Esperti 231 e Membri/Presidenti Organismi di vigilanza 231
Albo Esperti Privacy e DPO.
che ti consentono se svolgi attività di consulenza in ambito sicurezza del lavoro e sistemi di gestione, modelli 231, incarichi di ODV, consulenza privacy e incarichi DPO, di entrare in contatto con nuovi potenziali clienti costituiti dai visitatori dei siti, che compongono il network edirama: www.edirama.orgwww.sicurezzapratica.comwww.certificazioneiso.orgwww.certificazione.infowww.preventivo.info, www.consulenza231.org, www.consulenzaprivacy.org

Puoi iscriverti e iniziare a dare un’ulteriore visibilità alla tua attività professionale

Pubblicato il

La formazione annuale del DPO nel 2022 – Ecco come farla!

Come ogni anno, anche nel 2022 il DPO deve aggiornare le proprie competenze e conoscenze per potere esercitare correttamente le proprie funzioni.
Quest’ anno il DPO deve assolutamente approfondire i propri skills ai temi della cybersecurity, in considerazione del ruolo che la sicurezza informatica, ha assunto in tutte le aziende.

Vediamo alcuni dati.

Nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi. Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Questo è quanto emerge dal nuovo Rapporto Clusit.

Gli attacchi crescono in quantità e in “qualità”: la classificazione dei ricercatori di Clusit si basa anche su una valutazione dei livelli di impatto dei singoli incidenti, che tiene in considerazione aspetti di immagine, economici, sociali e le ripercussioni dal punto di vista geopolitico.

La geografia degli attacchi. Gli attacchi classificati dai ricercatori di Clusit si sono verificati nel 45% dei casi ancora nel continente americano (in leggero calo rispetto al 2020). Sono invece cresciuti gli attacchi verso l’Europa, che superano un quinto del totale (21%, contro il 16% dell’anno precedente), e verso l’ Asia (12%, rispetto al 10% del 2020). Resta sostanzialmente invariata la situazione degli attacchi verso Oceania (2%) e Africa ( 1%).

Severità degli attacchi in forte aumento. Nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dello scorso anno. In dettaglio, il 32% è stato caratterizzato da una severity “critica” e il 47% “alta”. A fronte di queste percentuali, sono diminuiti invece gli attacchi di impatto “medio” (-13%) e “basso” (-17%).


Sempre di più il DPO sarà quest’anno chiamato a correlarsi con problematiche che esulano dal GDPR, ma che ne possono coinvolgere molti elementi applicativi e operativi dello stesso, con problematiche che nascono da “falle” nella cybersecurity aziendale.
Quindi è fondamentale per il DPO svolgere un corso di formazione base in ambito cybersecurity, il cui attestato finale può certificare le nuove competenze acquisite, assicurando così l’azienda sulle competenze complete del DPO anche in tale tematica.

 

Pubblicato il

Parte il piano ispettivo 2022 del Garante Privacy – Due software per evitare le sanzioni

In data 31 Gennaio 2022 il Garante Privacy ha pubblicato il piano ispettivo per il semestre Gennaio – Giugno 2022 che attuerà anche con il supporto della Guardia di Finanza.
I controlli riguarderanno principalmente:

  • Corretta gestione dei cookie su siti web e piattaforme: il 9 Gennaio 2022 sono diventate definitivamente applicabili le nuove Linee guida, che coinvolgono tutte le aziende che abbiano un sito web;
  • Trattamenti di dati personali attraverso impianti di videosorveglianza: coinvolgono tutte le aziende che abbiano installato delle telecamere, che oltre a criticità in materia di dati personali, molto spesso possono avere risvolti giuslavoristi entrando nel campo di applicazione dell’art. 4 della Legge 300/70 “statuto dei lavoratori”;
  • Trattamenti di dati personali nei confronti di fornitori di data base: quando acquistiamo delle banche dati, in particolare per finalità di marketing, le aziende si preoccupano se tali dati sono stati raccolti in maniera lecita?Ti segnaliamo i due software di supporto che simulano la verifica del Garante Privacy e ti consentono di  individuare eventuali criticità sanzionabili, con i relativi consigli per correggerli ed evitare le sanzioni.
  • Software Ispezione GDPR
  • Software Ispezione Garante Check Cookies
Pubblicato il

Può essere sanzionata la società che non disattiva l’email aziendale dell’ex dipendente

Kit audit privacy

Kit Audit Privacy GDPR è lo strumento per aziende e consulenti, per realizzare in maniera completa e corretta gli audit periodici sull’efficacia ed efficienza dell’applicazione del Reg. UE 2016/679.

L’ex dipendente insoddisfatto per la mancata disattivazione dell’account di posta elettronica può proporre un reclamo al Garante. Se anche in questo caso il datore di lavoro non si attiva tempestivamente scatterà una visita ispettiva della Guardia di finanza per verificare tutti i dettagli della doglianza aggravando l’effetto sanzionatorio finale.

Fonte: Federprivacy.it

Pubblicato il

Aggiornamenti Covid-19 aziende, sistemi di gestione, 231, privacy

Sono stati aggiornati con nuovi documenti i seguenti servizi di aggiornamento

_ Alert Covid – luoghi di lavoro
Modello in MS Word di protocollo aziendale Covid-19 aggiornato al 18/1/2022

Alert ISO sistemi di gestione
Sono stati inseriti i kit documentali completi di manuale, procedure, modulistica, relativi a: ISO 27001, ISO 45001, SA 8000.
E’ stato inserito il software valutazione rischi asset aziendali per ISO 27001
Sono state inseriti contenuti di approfondimento

Alert Bandi per incarichi di consulenza
Sono stati inseriti nuovi bandi per incarichi di consulenza DPO, revisore dei conti, forniture software, consulenza e certificazione sistemi di gestione.

Alert 231
Abbonati per essere sempre aggiornato sulle novità inerenti i modelli 231, il D.lgs 231/01, i nuovi reati, la gestione dell’organismo di vigilanza e i bandi per incarichi di consulenza o membro/presidente organismo di vigilanza.
Incluso software e attestato per certificare il tuo aggiornamento annuale.

Clubdpo.com
Abbonati per essere sempre aggiornato su tutte le novità dell’attività del DPO e privacy.
Incluso software e attestato per certificare il tuo aggiornamento annuale.

Pubblicato il

DPO: errori da evitare nel redigere la relazione annuale

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO

    **********************************

    CLUBDPO.COM

    La soluzione pratica per l’aggiornamento continuo del DPO

    **********************************

  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sulla privacy .
Pubblicato il

Aggiornamento DPO e 231 – Nuovi reati presupposto

_ Privacy – DPO – GDPR – GREEN PASS
www.clubdpo.com è stato aggiornato con i seguenti contenuti
DPO attenzione! Ecco gli errori più comuni in ambito privacy nella gestione del Green Pass

_ D.lgs 231/01
Con il D.Lgs. 184/2021: esteso il Catalogo dei reati presupposto 231

********* Software e corsi on line D.lgs 231/01 ******
19B) Kit Aggiornamento modelli 231 Reati FISCALI
12) Kit 231 – Suite software per realizzare i modelli 231

13) ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
14) Corsi on line Esperto 231 ed Esperto ODV 231
20B) Software Check ODV 231 + certificato Check ODV 231 OK 
21B)  Software Autovalutazione modelli 231

Pubblicato il

Pubblicato Ispezione Garante Check Cookies GDPR

Software Ispezione Garante Check Cookies GDPR è il software che consente di individuare e correggere aspetti sanzionabili nei siti web, relativi alla corretta applicazione del Provvedimento del Garante Privacy relativo ai cookies, del 10/6/2021, in vigore dal 10/1/2022.

Risultati che puoi ottenere con questo software
1) rapida verifica conformità al Provvedimento Garante Privacy del 10/6/2021
2) illimitato numero di siti web gestibili
3) possibilità di personalizzare, stampare ed esportare la check list pre-caricata

Pubblicato il

Green pass e privacy: vietato ai datori conservare i QR code o fare copie

Il Garante per la protezione dei dati personali il 1° novembre ha messo in guardia gli utenti dallo scaricare App per la verifica del green pass che trattano dati in violazione delle disposizioni di legge, in alcuni casi trasferendoli anche a soggetti terzi. Il Garante ha ricordato che la App VerificaC19, rilasciata del Ministero della Salute, è l’unico strumento di controllo delle certificazioni verdi utilizzabile per garantire la privacy delle persone.

Green pass e privacy: vietato ai datori conservare i QR code o fare copie
Le aziende devono osservare una serie di adempimenti per tutelare i dati personali
Il Garante mette in guardia da app per il controllo diverse da VerificaC19

Il Garante per la protezione dei dati personali il 1° novembre ha messo in guardia gli utenti dallo scaricare App per la verifica del green pass che trattano dati in violazione delle disposizioni di legge, in alcuni casi trasferendoli anche a soggetti terzi. Il Garante ha ricordato che la App VerificaC19, rilasciata del Ministero della Salute, è l’unico strumento di controllo delle certificazioni verdi utilizzabile per garantire la privacy delle persone.

Dal 15 ottobre e fino al 31 dicembre 2021 (salvo proroghe), tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa, di formazione o di volontariato, nel mondo del lavoro, pubblico o privato, sono obbligati a esibire il green pass per accedere al luogo nel quale si svolge l’attività lavorativa. Il datore deve stabilire le procedure da osservare per i controlli e nominare gli incaricati alle verifiche che, all’ingresso o a campione, dovranno essere effettuate. Ma come possono essere trattati lecitamente i dati relativi ai controlli del green pass? E come viene tutelata la privacy dei lavoratori e dei collaboratori esterni che accedono ai luoghi di lavoro? I datori devono rispettare una serie di adempimenti anche sul versante della tutela della privacy.

In primo luogo, il datore di lavoro dovrà predisporre l’informativa sul trattamento dei dati in base all’articolo 13 del Gdpr, il Regolamento Ue 679/2016. L’informativa dovrà essere preventivamente comunicata agli interessati o esposta in sede di accesso di modo che l’interessato possa prenderne visione.

I dati personali trattati sono le generalità del lavoratore, la validità, l’integrità e l’autenticità del green pass o di una certificazione equivalente ovvero le informazioni in merito allo stato di soggetto esente da vaccinazione anti Covid-19, riportate nella certificazione di esenzione dalla vaccinazione.

La finalità del trattamento è la prevenzione dal contagio da Covid-19, in base all’articolo 9-septies del Dl 52/2021, nonché di controllo dell’autenticità, validità e integrità della certificazione verde Covid-19 o della certificazione equivalente, compresa quella di esenzione dalla vaccinazione anti Covid.

La base giuridica del trattamento è nell’adempimento di un obbligo legge. Il datore di lavoro, inoltre, dovrà provvedere alla nomina degli incaricati alle verifiche del green pass quali soggetti incaricati allo svolgimento dei trattamenti dei dati personali connessi all’esercizio del compito sopra citato, in base all’articolo 2-quaterdecies del Dlgs 196/2003 e fornendo loro le istruzioni per i controlli. Se la verifica del green pass è effettuata da un soggetto esterno (ad esempio quando il controllo è effettuato da una società esterna cui sia appaltato il servizio di custodia e vigilanza), costui dovrà essere nominato responsabile esterno del trattamento in base all’articolo 28 del Gdpr.

Il datore di lavoro dovrà anche aggiornare il Registro dei trattamenti in base all’articolo 30 del Gdpr, prevedendo i trattamenti di visualizzazione dati dei dipendenti e di tutti gli altri (ad esempio i fornitori) che accedono ai luoghi di lavoro.

Sul tema della privacy, il Garante è intervenuto a proposito della richiesta di parere sul Dpcm del 12 ottobre 2021 (Provvedimento 363 dell’11 ottobre 2021), affermando che il controllo dei green pass non dovrà comportare la raccolta di dati dell’interessato in qualunque forma, ad eccezione di quelli strettamente necessari all’applicazione delle conseguenti misure.

Da questo punto di vista, quindi, riserva dubbi la pratica di stilare elenchi sui quali indicare i soggetti sottoposti a verifica. Non sarà lecito, poi, conservare il QR code delle certificazioni verdi, né estrarre lo stesso in qualsiasi altro modo. Da questo punto di vista, quindi, non dovranno essere effettuate e trattenute copie cartacee dei green pass, né screenshot, né fotografie del certificato verde. Nel provvedimento 363, inoltre, il Garante dà il via libera alla verifica del possesso del green pass anche con modalità alternative all’uso dell’applicazione VerifcaC19, come l’impiego di un pacchetto di sviluppo per applicazioni rilasciato dal ministero della Salute (con licenza open source), da integrare nei sistemi di controllo degli accessi, o il controllo tramite il portale Inps, utilizzabile dai datori con più di 50 dipendenti.

Fonte: Il Sole 24 Ore – 8/11/2021