Privacy e 31 marzo: ultima chiamata

Col 31 marzo oramai alle porte e l’esponenziale interesse verso le scadenze privacy indissolubilmente legate all’inizio della primavera, qua di seguito pubblichiamo un rapido reminder di quello che va fatto, delle Misure di sicurezza necessarie da tenere d’occhio (e troppo spesso dimenticate dalle Aziende) e, perché no, ricordiamo qualche numero relativo alle sanzioni previste dall’ordinamento.

 

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve realizzare i seguenti adempimenti:
  • Aggiornamento del DPS (scarica il nostro modello di DPS 2011 Semplificato)
  • Redazione nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica adeguamento aziendale alla normativa privacy
  • Verifica delle attività 
degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del Mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili trattamento)
  • Programmazione  degli interventi formativi.

 

Alcune Misure necessarie di Sicurezza

Ricordiamo qui di seguito alcune tra le più recenti Misure di Sicurezza Necessarie introdotte da Provvedimenti del Garante:

 

Sanzioni Privacy e Rischio Sostenibile

Tralasciando l’argomento in più occasioni  affrontato, ovvero il rischio d’impresa come  occasione per realizzare un vantaggio  competitivo in termini di efficienza e  fidelizzazione dei Clienti, vogliamo qua di seguito fare un elenco nudo e crudo di alcune sanzioni previste dal Dlgs 196/2003, lasciando a voi le debite conclusioni:
  • Informativa: sanzioni amministrative da un minimo di 2.000 € sino a 1.200.000 € per mancanza di rilascio dell’informativa o rilascio di informativa inidonea
  • Misure Minime di Sicurezza: la mancata adozione delle misure minime di sicurezza prevede una sanzione da 8.000 € a 960.000 €
  • Disciplinare Interno sull’uso di Internet e Posta elettronica: la mancata adozione di tale disciplinare interno, provvisto di procedure per effettuare controlli su email e navigazione dei dipendenti, prevede sanzioni amministrative da 12.000 € a 1.440.000 €
  • DPS (Documento Programmatico sulla Sicurezza): la mancata adozione del DPS prevede una sanzione da 8.000 € a 960.000 €

 

Per chiarimenti o altro:  studio@mazzolari.eu

 

A tutti una serena Primavera

 

 

 

 

 

 

 

 

 

Annunci

Tutela della Privacy per i disabili che acquistano un’autovettura

Asl e Concessionari devono trattare solo i dati personali effettivamente necessari

Privacy più tutelata per i disabili che acquistano un’autovettura usufruendo dei benefici fiscali. La chiede il Garante prescrivendo ad Asl e concessionarie di limitare il trattamento dei dati sulla salute dei disabili a quelli strettamente necessari.

16 febbraio 2011: il Garante, facendo chiarezza su alcune problematiche presentate da Federauto in un settore in cui circolano quantità sproporzionate di documenti e dati delicatissimi (molti dei quali non indispensabili e spesso consegnati spontaneamente dagli stessi disabili) con un importante Provvedimento prescrive nuove misure necessarie di sicurezza (presidiate, quindi, da sanzioni comprese tra un minimo di €30.000 ad un massimo di €180.000) rivolte a:

  • Concessionari di autoveicoli
  • Strutture sanitarie pubbliche e Commissioni mediche

 

Concessionari di autoveicoli

I Concessionari di autoveicoli dovranno:

  • trattare solo dati indispensabili per istruire la pratica di acquisto da parte di un disabile e
  • conservare i dati per eventuali controlli non oltre i limiti di prescrizione dei diritti e di conservazione delle scritture contabili.

Informativa. I Concessionari, inoltre, dovranno fornire ai disabili un’informativa completa sulla raccolta e uso dei loro dati, e dovranno indicare espressamente che le informazioni fornite, anche quelle sulla salute, potranno essere comunicate alle officine autorizzate nel caso siano da apportare eventuali adattamenti sui veicoli acquistati. In quest’ultima ipotesi il concessionario dovrà anche acquisire il consenso dell’acquirente.

Conservazione dei dati. Trascorsi dieci anni i dati personali, compresi quelli sanitari, se non sussistono altre esigenze di conservazione (es. controversie giudiziarie pendenti) dovranno essere distrutti, cancellati o trasformati in forma anonima. Considerata inoltre, l’ampiezza e la delicatezza delle informazioni trattate l’Autorità raccomanda a concessionari, imprese e officine autorizzate di adottare adeguate misure di sicurezza.

Misure di sicurezza. Le pratiche dovranno essere collocate in locali opportunamente protetti da intrusioni indebite e l’accesso alle informazioni dovrà essere consentito solo al personale autorizzato. Se i dati vengono trattati elettronicamente dovranno essere previsti adeguati sistemi di autenticazione e autorizzazione.

 

Strutture sanitarie pubbliche e Commissioni mediche

Le strutture sanitarie pubbliche e le commissioni mediche che accertano le varie forme di disabilità dovranno redigere le certificazioni sanitarie, necessarie per l’acquisto di autoveicoli a tassazione agevolata (iva ridotta al 4%, esenzione del bollo ecc.), indicando solo i dati personali effettivamente necessari per la concessione delle agevolazioni fiscali di legge.

Contenzioso penale sul lavoro e privacy

L’azienda non può accedere ai file del dipendente, ma può conservarli per far valere i suoi diritti

Nella nuova Newsletter del 1° marzo 2011, il Garante affronta la delicatissima tematica del bilanciamento tra il diritto del lavoratore alla riservatezza e il diritto dell’Azienda a tutelarsi da comportamenti illeciti dello stesso.

“Il diritto alla riservatezza dei lavoratori deve essere bilanciato con la possibilità per le imprese di tutelarsi nell’ambito di eventuali procedimenti penali.” Lo ha chiarito il Garante decidendo sul ricorso di un dipendente che chiedeva al suo ex datore di lavoro di cancellare alcune cartelle personali presenti nel computer portatile restituito dopo il licenziamento, opponendosi ad ogni ulteriore uso dei suoi dati contenuti nel pc. Nelle cartelle personali erano infatti conservate e-mail, fotografie e altra documentazione di esclusiva valenza personale.

Nel corso dell’istruttoria, la società ha però affermato che proprio in quel materiale potevano essere presenti prove della concorrenza sleale posta in essere dal dipendente insieme ad altri colleghi. L’azienda intendeva quindi mettere l’hard disk del computer, senza alterazione alcuna, a disposizione dell’autorità giudiziaria al fine di far valere i propri diritti.

Il Garante (con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti):

  • non ha accolto la richiesta avanzata dall’interessato di far cancellare i dati, ma
  • ha deciso di inibire alla società l’accesso alle cartelle private poiché il trattamento dei dati personali estranei all’attività lavorativa avrebbe violato i principi di pertinenza e non eccedenza previsti dal Codice della privacy.

L’Autorità ha però riconosciuto il diritto dell’impresa di conservare i file del dipendente al fine di poterli eventualmente presentare come prova nell’ambito del contenzioso penale.

L’acquisizione dei dati nel procedimento dovrà comunque avvenire su precisa disposizione del giudice.