Speciale Aggiornamento Privacy 2014

alert-icon-redChi deve aggiornare il Modello Privacy?

Tutti i Titolari di trattamento devono, almeno una volta all’anno, aggiornare il Modello Privacy adottato.

 

Mapping artworkA chi si applica il Codice Privacy (DLgs 196/2003)?
 
Il Codice si applica a tutti i soggetti che effettuano trattamenti di dati personali individuati in base al Principio di stabilimento del soggetto o degli strumenti del trattamento.
Per la precisione, l’Art.  5 del Codice dispone che è soggetto alla disciplina del DLgs 196/2003:
  • chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato,
  • chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.

privacy-policy-800-shutterstock-114908371Come adempiere l’obbligo di aggiornamento?

Gli adempimenti finalizzati all’aggiornamento annuale del Sistema privacy aziendale sono previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.
Almeno annualmente, ogni Titolare deve:
  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare le Informative complete: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

 

imagesIl Nostro Documento: APA2014 (Aggiornamento Privacy Annuale)

Studio Mazzolari, dopo l’abolizione del DPS, ha messo a punto un nuovo Documento denominato APA, acronimo di Aggiornamento Privacy Annuale, al fine di garantire la compliance dei propri Clienti alla normativa di riferimento. 
L’APA, da conservare nel Fascicolo Privacy Aziendale, è così suddiviso:
  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

download_large

Scarica il nostro Modello APA2014

 

 

Annunci

Il Modello di APA per il 2012 – Aggiornamento Privacy Annuale

Eliminato l’obbligo di redazione del DPS, possiamo adempiere all’obbligo di aggiornamento annuale del Sistema privacy aziendale attraverso un documento denominato APA, ovvero: Aggiornamento Privacy Annuale.

In calce al presente Post, Studio Mazzolari è lieto di fornire un Modello/Facsimile dell’APA2012 liberamente scaricabile ed utilizzabile.

Cos’è l’APA?

L’obbligo da parte dei Titolari di trattamento di metter mano ed aggiornare il proprio Sistema Privacy è previsto dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza). L’APA è un documento che consente di verificare la conformità delle procedure aziendali alle caratteristiche richieste dal DLgs 196/2003 e successivi Provvedimenti del Garante oltre che a verificarne l’applicazione.

Chi deve redigere l’APA?

L’Aggiornamento Privacy Annuale è adempimento obbligatorio che tutti i Titolari di trattamento devono effettuare.

A chi va inviato l’APA?

A nessuno. L’APA va conservato nel Fascicolo Privacy Aziendale presso il Responsabile del Trattamento.

Entro quando va redatto l’APA?

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, Studio Mazzolari mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo.

A tutti buona vita.

Scarica il Modello di APA2012

DPS addio, benvenuto APA

Eliminato l’obbligo di redazione del DPS, si pone il problema di come adempiere agli obblighi di aggiornamento annuale del Sistema privacy aziendale previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.

Vediamo anzitutto quali sono questi obblighi.

Almeno annualmente, ogni Titolare deve:

  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare l’Informativa completa: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

L’APA (Aggiornamento Privacy Annuale)

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, il nostro Studio mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo attraverso un documento denominato APA, acronimo di Aggiornamento Privacy Annuale.

 L’APA, da conservare nel Fascicolo privacy aziendale, è così suddiviso:

  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

Ancora una volta ricordiamo che il DPS era una semplice fotografia ufficiale del Sistema privacy aziendale che va, comunque,  adeguato alla normativa di riferimento, ovvero:

  • Decreto Legislativo 196/2003 (Codice in materia di Protezione dei Dati Personali);
  • Allegato B al DLgs 196/2003: Disciplinare Tecnico in materia di Misure Minime di Sicurezza;
  • Provvedimenti del Garante ex artt. 143 e 154, comma 1,  lett. c) DLgs 196/2003.

Privacy e 31 marzo: istruzioni per l’uso

Con gennaio che volge al termine, iniziamo il nostro consueto avvicinamento alla più importante scadenza privacy dell’anno fissata nella data del 31 marzo.

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve metter mano ai Sistema Privacy adottato e realizzare i seguenti adempimenti:

  • Aggiornamento del Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Aggiornamento del DPS
  • Redazione della nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica delle attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili del trattamento)
  • Programmazione degli interventi formativi.

Nei prossimi Post affronteremo ciascuno dei sopra indicati Punti segnalando soluzioni concrete e, ove possibile, proponendo facsimili documentali.

Il Modello di DPS semplificato per il 2012

Cari amici,

come oramai consuetudine d’inizio anno, in vista delle scadenze del 31 marzo, Studio Mazzolari propone il proprio Modello di Documento Programmatico sulla Sicurezza (DPS 2012) semplificato.

Il Modello è aggiornato con le ultime novità legislative e dottrinali (da ultimo il  Decreto Legge “Salva Italia” 6 dicembre 2011 n°20) e arricchito di nuove note esplicative.

Passiamo ora ad un breve reminder.

Chi può redigere il DPS in forma semplificata?

Possono redigere un DPS in forma semplificata piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per correnti finalità amministrativo-contabili (inclusi i dati personali di carattere sensibile).

Per trattamenti effettuati per finalità amministrativo-contabili si intendono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Entro quando va redatto e/o aggiornato il DPS?

Entro il 31 marzo di ogni anno.

Quale la più importante novità rispetto all’edizione 2011

La novità più rilevante è figlia del Decreto Monti, ovvero: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003. 

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica (per un approfondimento: SMBlog).

A tutti ancora un sereno 2012 e buon lavoro.

Scarica il Facsimle DPS 2012 Semplificato

 

DPS e Relazione Accompagnatoria al Bilancio d’esercizio: il Nostro Facsimile

Passato il 31 marzo, approfondiamo in questo post una misura minima di sicurezza privacy strettamente correlata al DPS: l’obbligo di riferire nella relazione accompagnatoria al bilancio di esercizio dell’avvenuta redazione/aggiornamento del DPS.

Il Punto 26 dell’All.B al Dlgs196/2003, dispone  l’obbligo di adozione di una Misura minima  di  sicurezza e così recita:

Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.


A quale comunicazione sociale si riferisce?

E’ escluso che si riferisca alla Nota integrativa in quanto:

  • il Punto 26 adotta l’inciso “se dovuta”, mentre la nota integrativa va adottata in ogni caso,
  • la Nota integrativa contiene unicamente indicazioni di tipo contabile.

Sembra pertanto corretto fare riferimento alla Relazione sulla gestione ed escludere altri documenti previsti dal codice civile.

 

Quando adempiere?

Al momento del deposito del bilancio, pertanto, gli amministratori delle società tenuti a redigere una Relazione sulla gestione ai sensi dell’art. 2428 c.c. dovranno menzionare al suo interno la circostanza dell’avvenuta adozione/aggiornamento del DPS.

 

Contenuto della menzione

Nessun obbligo di allegare il DPS alla relazione, ne’ di descriverne il contenuto, va solo riferito dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza (Scarica il Nostro Facsimile)

 

A quale DPS fare riferimento?

Quanto al periodo di riferimento sarà necessario guardare all’esercizio in corso, e non a quello cui il bilancio fa riferimento (si dovrà pertanto, menzionare nella relazione sulla gestione dell’avvenuta adozione o aggiornamento del DPS per l’anno solare in corso).

 

Sanzioni

La mancata menzione dell’adozione/aggiornamento del DPS integra la mancata adozione di una misura minima di sicurezza per la quale è prevista una sanzione da 8.000 € a 960.000 €.

 

Scarica il Nostro Facsimile da inserire nella relazione accompagnatoria del bilancio d’esercizio.


Privacy e 31 marzo: ultima chiamata

Col 31 marzo oramai alle porte e l’esponenziale interesse verso le scadenze privacy indissolubilmente legate all’inizio della primavera, qua di seguito pubblichiamo un rapido reminder di quello che va fatto, delle Misure di sicurezza necessarie da tenere d’occhio (e troppo spesso dimenticate dalle Aziende) e, perché no, ricordiamo qualche numero relativo alle sanzioni previste dall’ordinamento.

 

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve realizzare i seguenti adempimenti:
  • Aggiornamento del DPS (scarica il nostro modello di DPS 2011 Semplificato)
  • Redazione nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica adeguamento aziendale alla normativa privacy
  • Verifica delle attività 
degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del Mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili trattamento)
  • Programmazione  degli interventi formativi.

 

Alcune Misure necessarie di Sicurezza

Ricordiamo qui di seguito alcune tra le più recenti Misure di Sicurezza Necessarie introdotte da Provvedimenti del Garante:

 

Sanzioni Privacy e Rischio Sostenibile

Tralasciando l’argomento in più occasioni  affrontato, ovvero il rischio d’impresa come  occasione per realizzare un vantaggio  competitivo in termini di efficienza e  fidelizzazione dei Clienti, vogliamo qua di seguito fare un elenco nudo e crudo di alcune sanzioni previste dal Dlgs 196/2003, lasciando a voi le debite conclusioni:
  • Informativa: sanzioni amministrative da un minimo di 2.000 € sino a 1.200.000 € per mancanza di rilascio dell’informativa o rilascio di informativa inidonea
  • Misure Minime di Sicurezza: la mancata adozione delle misure minime di sicurezza prevede una sanzione da 8.000 € a 960.000 €
  • Disciplinare Interno sull’uso di Internet e Posta elettronica: la mancata adozione di tale disciplinare interno, provvisto di procedure per effettuare controlli su email e navigazione dei dipendenti, prevede sanzioni amministrative da 12.000 € a 1.440.000 €
  • DPS (Documento Programmatico sulla Sicurezza): la mancata adozione del DPS prevede una sanzione da 8.000 € a 960.000 €

 

Per chiarimenti o altro:  studio@mazzolari.eu

 

A tutti una serena Primavera