Pubblicato il

DPO: errori da evitare nel redigere la relazione annuale

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sulla privacy .
Pubblicato il

Pubblicato Kit audit privacy sistemi di decisione automatizzata

Kit audit privacy sistemi di decisione automatizzata consente di realizzare in modo veloce e completo l’audit relativo alle prescrizioni privacy necessarie e introdotte dal Decreto Trasparenza (Dlgs 104/2022) .

Con l’introduzione del Dlgs. 104 si raccomanda al Titolare/DPO di effettuare un audit annuale al fine di evitare le sanzioni previste a carico del datore di lavoro.

Risultati che ottieni con questo prodotto:
_ realizzi velocemente l’audit  privacy relativo ai sistemi di decisione automatizzata
_ eviti errori e quindi sanzioni nella verifica privacy relativa ai sistemi di decisione automatizzata
_ se sei un consulente puoi utilizzarlo per un numero illimitato di aziende
_ puoi personalizzare le check list

Il Kit è costituito da:
_ Check list verifica adempimenti privacy relativi alle prescrizioni del D.lgs 104/2022 inerenti i sistemi di decisione automatizzata (13 punti analizzati) in formato MS Excel

_ Check list per effettuare il censimento dei sistemi di decisione automatizzata con elenco già predisposto in formato MS Excel (18 punti di controllo)

_ Software Audit Doc per realizzare gli audit periodici (richiede la presenza di Windows sul pc da versione 7 in poi). Software utilizzabile per un numero illimitato di aziende e di audit

_ Software Check list maker per gestire e realizzare check list di controllo da utilizzare nell’attività di audit

Il Kit è utilizzabile per un numero illimitato di aziende.
Immediato download dopo il pagamento

MAGGIORI INFORMAZIONI

Pubblicato il

Pubblicato il mini corso Come realizzare la TIA – valutazione impatto trasferimento dati + software

Fast corso online – Come realizzare la TIA – valutazione impatto trasferimento dati + software

Il corso on line per farti apprendere rapidamente le modalità di realizzazione della valutazione rischi impatto trasferimento dati.

Il corso on line della durata di c.a.2 ore ti fornisce inoltre l’applicativo in Excel per realizzare la TIA ( transfer impact assessment ), utilizzato per la simulazione, e il modello di TIA in formato MS Word, strumenti operativi da utilizzare subito.

Sommario del corso online:
1) Che cosa è la TIA
2) Quando è necessario effettuare la TIA
3) Come condurre una TIA
4) Chi deve effettuare la TIA
5) Gestire i trattamenti successi
3) Un esempio pratico di trasferimento dati negli Stati Uniti

Accedi alla video presentazione

Pubblicato il

Pubblicato il Modello TIA – transfer impact assessment – valutazione impatto trasferimento dati

Privacy – Pubblicato il Modello TIA – transfer impact assessment – valutazione impatto trasferimento dati

Formato MS Word – 14 pagine. – contenuti da compilare con i dati specifici del trasferimento dati
Risultati che ottieni con questo prodotto
_ risparmi tempo nel realizzare il documento di valutazione impatto trasferimento dati
_ eviti errori nella compilazione
_ puoi utilizzarlo per un numero illimitato di trasferimenti
_ immediato download dopo il pagamento

Scarica estratto modello_TIA

Che cos’è una valutazione dell’impatto del trasferimento (TIA)?

Una valutazione dell’impatto del trasferimento (TIA) è un tipo di valutazione del rischio che consente a organizzazioni come l’EDD (cioè “esportatore di dati”) di determinare se le SCC o altri meccanismi ai sensi dell’articolo 46 del GDPR, che si intendono utilizzare per trasferire dati personali all’esterno al SEE, forniscono un livello di protezione adeguato nelle circostanze specifiche di tale trasferimento.

Il TIA deve valutare se le leggi e le pratiche nel paese al di fuori del SEE (cioè il paese terzo) in cui i dati personali vengono trasferiti o da cui si accede, forniscano una protezione “sostanzialmente equivalente” e non influiscano sull’efficacia delle SCC o di altri meccanismo di cui all’articolo 46 del GDPR utilizzato per facilitare il trasferimento dei dati.

Se l’esito del TIA è che le leggi e le pratiche del paese terzo incidono sull’efficacia del meccanismo dell’articolo 46 del GDPR, allora l’EDD (cioè l'”esportatore di dati) deve identificare e adottare misure supplementari per portare il livello di protezione per il trasferito i dati personali fino al livello di protezione dell’UE.

Pubblicato il

Domande e risposte su Google Analytics  / Privacy

Nel corso del 2022 sono state emesse diverse decisioni in Austria, Francia e Italia in casi riguardanti l’utilizzo di Google Analytics.

I casi sono stati spinti da denunce presentate dall’organizzazione None of Your Business (“NOYB”) a una serie di autorità di vigilanza europee a seguito della sentenza della Corte di giustizia dell’Unione europea nella cosiddetta causa Schrems II . I reclami riguardavano l’uso dello strumento Google Analytics, che, secondo NOYB, comporta il trasferimento di dati personali dei visitatori del sito Web a Google negli Stati Uniti in violazione della legge sulla protezione dei dati.

Google Analytics è uno strumento che consente ai proprietari di siti Web di compilare statistiche sui visitatori del sito Web, tra le altre cose, al fine di ottimizzare il contenuto del sito Web. Ciò avviene assegnando al visitatore un identificatore univoco al fine di generare statistiche sulle visite al sito Web, sulle visualizzazioni di pagina, ecc. Oltre all’identificatore individuale, vengono raccolti ulteriori dati sull’interazione del visitatore con il sito Web, sull’ora approssimativa della visita, nonché dati sul browser del visitatore, sistema operativo, ecc.

Le organizzazioni europee che desiderano utilizzare Google Analytics stipulano un accordo con Google Ireland Ltd a tal fine. Nell’ambito di questo quadro contrattuale, Google si offre di stipulare le cosiddette clausole contrattuali standard che forniscono agli interessati una serie di garanzie e diritti in relazione al trasferimento di dati personali a Google LLC negli Stati Uniti.

Tuttavia, questo contratto non può sempre garantire di per sé un livello di protezione sostanzialmente equivalente a quello dell’UE/SEE. Ciò è particolarmente vero nei casi in cui le autorità di contrasto del paese terzo possono accedere ai dati personali trasferiti in misura sproporzionata e in violazione delle leggi europee fondamentali.

In particolare, la questione centrale nelle cause è che i dati personali trasferiti negli Stati Uniti non sono – in alcuni casi – garantiti un livello di protezione sostanzialmente equivalente a quello all’interno dell’UE/SEE. Questo perché alcune leggi statunitensi – il Foreign Intelligence Surveillance Act (FISA) sezione 702 e l’Executive Order 12 333, letto insieme alla Presidential Policy Directive-28 – non soddisfano i requisiti di proporzionalità del diritto dell’UE in caso di interferenza con diritti, né gli interessati (europei) hanno diritto a un ricorso effettivo. Lo ha affermato la Corte di giustizia dell’Unione europea nella citata causa Schrems II. Per il trasferimento di dati personali a organizzazioni negli Stati Uniti nell’ambito della suddetta normativa, è pertanto necessario attuare misure supplementari al fine di portare il livello generale di protezione dei dati a un livello sostanzialmente equivalente a quello dell’UE/SEE. Tali misure possono essere di natura tecnica, contrattuale e organizzativa.

Nei casi, Google ha indicato che l’azienda aveva implementato ulteriori misure contrattuali, organizzative e tecniche. Tuttavia, le autorità di controllo hanno ritenuto che tali misure non potessero garantire un livello efficace di protezione dei dati trasferiti poiché le misure non erano idonee a impedire l’accesso ai dati personali trasferiti da parte delle forze dell’ordine statunitensi.

Di conseguenza, il trasferimento di dati personali negli Stati Uniti tramite Google Analytics è stato considerato illecito.

Domande e risposte su Google Analytics  – 

Le risposte ai quesiti sono disponibili nell’area abbonatiPer abbonarti a www.clubdpo.com clicca qui

È possibile configurare lo strumento Google Analytics in modo tale che i dati personali non vengano trasferiti negli Stati Uniti?

È possibile configurare lo strumento Google Analytics in modo tale che non vengano raccolti dati personali?

Credo di aver configurato Google Analytics in modo tale che non vengano raccolti dati personali. Vi è un divieto se continuo a utilizzare Google Analytics?

È possibile utilizzare Google Analytics in base al consenso dei visitatori?

 

 

Pubblicato il

DPO – Sanzione da oltre 500.000 euro

DPO – Sanzione da oltre 500.000 euro

Aver nominato un Data Protection Officer in conflitto di interessi è costato una sanzione da 525.000 euro a una filiale di un gruppo tedesco di e-commerce.

Il DPO di una filiale del gruppo di e-commerce tedesco era infatti anche amministratore delegato di due società di servizi che trattavano dati personali per conto della società per la quale aveva il ruolo di Data Protection Officer. Le società a loro volta facevano parte del gruppo e si occupavano del servizio clienti e dell’esecuzione degli ordini. “Il DPO doveva quindi vigilare sul rispetto della normativa in materia di protezione dei dati da parte delle società di servizi attive nell’ambito dell’elaborazione degli ordini, che lui stesso gestiva in qualità di amministratore delegato“, spiega il comunicato stampa dell’autorità.

In questa situazione, il garante berlinese aveva riscontrato un conflitto di interessi e quindi una violazione del GDPR già nel 2021, quando aveva formalmente avvertito il gruppo di e-commerce.

Tuttavia, a seguito di un altro controllo effettuato quest’anno l’autorità aveva riscontrato che la violazione era ancora in corso nonostante la diffida, e perciò ha deciso di infliggere la pesante sanzione, che allo stato attuale non è ancora definitiva.

Fonte: Federprivacy

Pubblicato il

Pubblicato il nuovo software DPO SUITE ….. massima libertà …

 

Abbiamo pubblicato DPO SUITE la raccolta software per gestire ancora meglio e senza vincoli, l’attività del Data Protection Office.
Vantaggi:
_ numero illimitato di aziende gestibili
_ archivi aperti e personalizzabili
_ nessun canone annuale obbligatorio
_ massima sicurezza perchè i software sono installati in locale pur consentendo l’utilizzo condiviso

Accedi alle video demo e ai dettagli dei contenuti dal seguente link

Pubblicato il

Nuovi obblighi privacy dal 13/8/2022

Il Decreto Trasparenza (D. Lgs. 27 giugno 2022 n. 104, attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea), disciplina il diritto all’informazione del lavoratore sugli elementi essenziali del rapporto di lavoro e sulle condizioni di lavoro nonché la relativa tutela e trova applicazione in relazione a specifici rapporti e contratti di lavoro.

Gli obblighi del decreto trasparenza saranno in vigore dal 13 agosto 2022 e riguardano le seguenti tipologie di contratti:

subordinato, ivi compreso quello di lavoro agricolo, a tempo indeterminato e determinato e a tempo parziale; somministrato; lavoro intermittente; rapporto di collaborazione con prestazione prevalentemente personale e continuativa organizzata dal committente; rapporto di collaborazione coordinata e continuativa; prestazione occasionale; rapporti di lavoro dei dipendenti delle pubbliche amministrazioni.

OBBLIGHI DI TRASPARENZA.

Oltre gli aspetti prettamente relativi al rapporto di lavoro, non trattati nel presente articolo, riportiamo di seguito gli obblighi in materia privacy relativi ai c.d. sistemi decisionali o di monitoraggio automatizzati (di seguito “Sistemi Automatizzati”):

Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire  indicazioni:

 

  1. rilevanti ai fini della assunzione o del conferimento dell’incarico;

  2. della gestione o della cessazione del rapporto di lavoro;

  3. dell’assegnazione di compiti o mansioni ;

  4. degli incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.

Ai fini dell’adempimento degli obblighi sopra descritti, il datore  di  lavoro o il  committente sono tenuti a fornire al lavoratore, unitamente alle informazioni di cui all’ articolo 1, prima dell’inizio dell’attività lavorativa, le seguenti ulteriori informazioni:

 

  1.  gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei Sistemi Automatizzati;

  2.  gli scopi e le finalità dei Sistemi Automatizzati;

  3.  la logica ed il funzionamento dei Sistemi Automatizzati;

  4.  le categorie di dati ed i parametri principali utilizzati per programmare o addestrare i Sistemi Automatizzati, inclusi i meccanismi di valutazione delle prestazioni;

  5.  le  misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

  6. il livello di accuratezza, robustezza e cybersicurezza dei Sistemi Automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

DIRITTO DI ACCESSO DEL LAVORATORE.

Il  lavoratore,  direttamente o per il tramite delle rappresentanze sindacali aziendali o territoriali, ha diritto di accedere ai dati e di richiedere ulteriori  informazioni concernenti gli obblighi di cui al comma 2. Il datore di lavoro o il committente sono tenuti a trasmettere i dati richiesti e a rispondere per iscritto entro trenta giorni.

INFORMATIVA PRIVACY E REGISTRO DEI TRATTAMENTI.

Il datore di lavoro o il committente sono tenuti ad integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento  del  registro dei trattamenti riguardanti le attività dei Sistemi Automatizzati, incluse le attività di sorveglianza e monitoraggio. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR), il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi  trattamenti,  procedendo  a consultazione preventiva del Garante per la protezione dei dati personali ove sussistano i presupposti di cui all’articolo 36 del GDPR.

MODALITA’ DI INFORMAZIONE DEL LAVORATORE.

I lavoratori, almeno 24 ore prima, devono essere informati per iscritto di ogni modifica incidente su “Sistemi Automatizzati” utilizzati e che comportino  variazioni delle condizioni di svolgimento del lavoro.

Le informazioni e i dati sopra descritti, devono essere comunicati dal datore di lavoro o dal committente ai lavoratori in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. La comunicazione delle medesime informazioni e dati deve essere effettuata anche alle rappresentanze sindacali aziendali ovvero  alla rappresentanza sindacale unitaria e, in assenza delle predette rappresentanze, alle sedi territoriali delle associazioni sindacali comparativamente piu’ rappresentative sul piano nazionale. Il Ministero del lavoro e delle politiche sociali e l’Ispettorato nazionale del lavoro possono richiedere la comunicazione  delle medesime informazioni e dati e l’accesso agli stessi.

SANZIONI DECRETO TRASPARENZA.

Il lavoratore denuncia il mancato, ritardato, incompleto o inesatto assolvimento degli obblighi all’Ispettorato nazionale del lavoro che, compiuti i necessari accertamenti, applica la sanzione amministrativa pecuniaria da 250 a 1.500 euro per ogni lavoratore interessato (prevista all’articolo 19, comma 2, del decreto legislativo 10 settembre 2003, n. 276).

Per le pubbliche amministrazioni le violazioni degli obblighi sono valutate ai fini della responsabilità dirigenziale, nonché della misurazione della performance ai sensi dell’articolo 7 del decreto legislativo 27 ottobre 2009, n. 150.

SANZIONI GDPR.

Il datore di lavoro può incorrere anche in sanzioni riferibili all’art. 83 del GDPR ove i sistemi decisionali o di monitoraggio automatizzati non siano conformi alla normativa in materia di protezione dei dati personali (fino al 4% del fatturato dell’ultimo anno).

RIEPILOGO DELLE COSE DA FARE.

Qualora il Datore di lavoro impieghi sistemi decisionali di valutazione o monitoraggio automatizzati, secondo le caratteristiche sopra descritti, dovrà:

  1. aggiornare l’informativa ex art. 13 (e/o 14) del GDPR dei dipendenti e collaboratori, integrando le ulteriori informazioni necessarie in merito ai sistemi decisionali o di monitoraggio automatizzati, comprensive anche delle logiche di funzionamento (vedi obblighi sopra descritti);

  2. aggiornare la nomina a soggetto autorizzato ex artt. 29 del GDPR e 2-quaterdecies del Codice privacy con istruzioni relative alla sicurezza delle informazioni;

  3. eseguire, o aggiornare se già presente, sia la Valutazione dei Rischi Privacy, sia la Valutazione d’Impatto Privacy DPIA sui sistemi decisionali o di monitoraggio automatizzati che colpiscono i dipendenti e collaboratori (comprendere anche il periodo di 5 anni, a partire dalla conclusione del rapporto di lavoro, riferibile al periodo di conservazione della prova della trasmissione o della ricezione delle informazioni al lavoratore.);

  4. aggiornare il  registro di trattamento ed a seguito dell’esecuzione della Valutazione dei Rischi e del DPIA.

  5. aggiornare, qualora sia presente, la procedura per la designazione/nomina dei soggetti autorizzati  prevedendo il termine di preavviso di 24 ore, riferibile al termine entro cui i lavoratori devono essere informati per iscritto di ogni modifica incidente sulle informazioni fornite in merito ai sistemi decisionali di valutazione o di monitoraggio automatizzati che comportino variazioni delle condizioni di svolgimento del lavoro.

    Fonte: cercolavoro.com

Pubblicato il

Sei un consulente? Iscriviti agli Albi Professionali di Edirama per acquisire nuovi contatti professionali

Oggi ti segnalo 4 nuovi strumenti per aiutarti a sviluppare la tua attività professionale.
Albo consulenti sistemi di gestione
Albo consulenti sicurezza del lavoro
Albo Esperti 231 e Membri/Presidenti Organismi di vigilanza 231
Albo Esperti Privacy e DPO.
che ti consentono se svolgi attività di consulenza in ambito sicurezza del lavoro e sistemi di gestione, modelli 231, incarichi di ODV, consulenza privacy e incarichi DPO, di entrare in contatto con nuovi potenziali clienti costituiti dai visitatori dei siti, che compongono il network edirama: www.edirama.orgwww.sicurezzapratica.comwww.certificazioneiso.orgwww.certificazione.infowww.preventivo.info, www.consulenza231.org, www.consulenzaprivacy.org

Puoi iscriverti e iniziare a dare un’ulteriore visibilità alla tua attività professionale