Smart o Professional? I nuovi Servizi di Studio Mazzolari

Studio MazzolariSemplificazione nell’elevata Tutela

Sviluppare soluzioni personalizzate e flessibili per soddisfare ogni tipo di esigenza, fornire assistenza professionale di assoluta qualità ed affidabilità: questa la nostra Mission.

Dopo il nuovo recente inasprimento delle sanzioni privacy, Studio Mazzolari propone i nuovi Servizi SmartConsulting® e ProfessionalConsulting® per l’adeguamento di Aziende, Studi Professionali ed Enti Pubblici alle misure di sicurezza minime e necessarie previste dal DLgs 196/2003 (Codice privacy), dai più recenti Provvedimenti del Garante oltre che dalle Normative di settore.

Smart o Professional? Le nostre Soluzioni personalizzate

LightWeight Icon

SmartConsulting®

Consigliata per Piccole Imprese, la soluzione SmartConsulting® consente l’adeguamento alla normativa privacy in tempi brevi e a costi contenuti. Vai all’Offerta

product_performance_report_icon_1

ProfessionalConsulting®

Principalmente rivolta a PMI ed Enti Pubblici, la soluzione ProfessionalConsulting® garantisce la presenza di un nostro Professionista sia nella fase iniziale di checkup e raccolta informazioni, sia nella messa a regime del Modello Privacy da noi predisposto. Vai all’Offerta

 

Inoltre: desideri finanziare il Nostro Intervento?

iStock_000002266764Small

Le attività realizzate da Studio Mazzolari sono finanziabili attraverso l’accesso a Fondi legati alla Legge n 236/93 o ai Fondi Paritetici interprofessionali (Fpi), in relazione al fabbisogno formativo proprio del Cliente.

Per saperne di più: la nostra Formazione finanziata

 

 

Annunci

Il Modello di APA per il 2012 – Aggiornamento Privacy Annuale

Eliminato l’obbligo di redazione del DPS, possiamo adempiere all’obbligo di aggiornamento annuale del Sistema privacy aziendale attraverso un documento denominato APA, ovvero: Aggiornamento Privacy Annuale.

In calce al presente Post, Studio Mazzolari è lieto di fornire un Modello/Facsimile dell’APA2012 liberamente scaricabile ed utilizzabile.

Cos’è l’APA?

L’obbligo da parte dei Titolari di trattamento di metter mano ed aggiornare il proprio Sistema Privacy è previsto dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza). L’APA è un documento che consente di verificare la conformità delle procedure aziendali alle caratteristiche richieste dal DLgs 196/2003 e successivi Provvedimenti del Garante oltre che a verificarne l’applicazione.

Chi deve redigere l’APA?

L’Aggiornamento Privacy Annuale è adempimento obbligatorio che tutti i Titolari di trattamento devono effettuare.

A chi va inviato l’APA?

A nessuno. L’APA va conservato nel Fascicolo Privacy Aziendale presso il Responsabile del Trattamento.

Entro quando va redatto l’APA?

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, Studio Mazzolari mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo.

A tutti buona vita.

Scarica il Modello di APA2012

DPS addio, benvenuto APA

Eliminato l’obbligo di redazione del DPS, si pone il problema di come adempiere agli obblighi di aggiornamento annuale del Sistema privacy aziendale previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.

Vediamo anzitutto quali sono questi obblighi.

Almeno annualmente, ogni Titolare deve:

  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare l’Informativa completa: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

L’APA (Aggiornamento Privacy Annuale)

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, il nostro Studio mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo attraverso un documento denominato APA, acronimo di Aggiornamento Privacy Annuale.

 L’APA, da conservare nel Fascicolo privacy aziendale, è così suddiviso:

  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

Ancora una volta ricordiamo che il DPS era una semplice fotografia ufficiale del Sistema privacy aziendale che va, comunque,  adeguato alla normativa di riferimento, ovvero:

  • Decreto Legislativo 196/2003 (Codice in materia di Protezione dei Dati Personali);
  • Allegato B al DLgs 196/2003: Disciplinare Tecnico in materia di Misure Minime di Sicurezza;
  • Provvedimenti del Garante ex artt. 143 e 154, comma 1,  lett. c) DLgs 196/2003.

Cancellato il DPS, cosa rimane?

27 gennaio 2012 – Il Decreto Semplificazioni del Governo Monti ha eliminato l’obbligo di redazione (e, quindi, aggiornamento) del DPS (Documento Programmatico sulla Sicurezza).

L’art. 47 del Decreto Semplificazioni mette mano (per l’ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).

Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l’altro, con le prospettive privacy dell’Unione Europea. Al riguardo v. Unione Europea: la privacy che verrà) mettiamo a fuoco quello che era il DPS.

Il DPS come fotografia degli obblighi privacy aziendali

Il DPS altro non era che la fotografia ufficiale di ciò che l’azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento.

Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni.

Quando incontro i miei Clienti che, fino all’altro ieri, avevano come unica preoccupazione la redazione/aggiornamento del DPS, passavo i primi quindici minuti a spiegar loro che, per metter mano al DPS, bisognava prima occuparsi della compliance aziendale al DLgs 196/2003, e, quindi, come ultimo e meno impegnativo step, creare o integrare tabelline, schemi ed elenchi vari nel DPS.

Cosa rimane, dunque?

Eliminato il DPS,  rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero:

  • Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
  • Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
  • Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
  • Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
  • Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
  • Formazione del Personale.

Quali aggiornamenti annuali rimangono obbligatori?

DPS a parte, ogni Titolare del trattamento deve, almeno annualmente:

  • Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Verificare l’attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento).

In conclusione

  • Bene Monti: ha eliminato l’adempimento privacy più formale e sostanzialmente inutile nella sua ridondanza;
  • Ma la Privacy non è il DPS: tutti noi Consulenti dobbiamo rivedere le nostre strategie di comunicazione per far arrivare nella maniera più chiara e onesta possibile a tutti i Titolari di trattamento che:

 la Privacy NON è il DPS

Privacy e 31 marzo: istruzioni per l’uso

Con gennaio che volge al termine, iniziamo il nostro consueto avvicinamento alla più importante scadenza privacy dell’anno fissata nella data del 31 marzo.

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve metter mano ai Sistema Privacy adottato e realizzare i seguenti adempimenti:

  • Aggiornamento del Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Aggiornamento del DPS
  • Redazione della nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica delle attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili del trattamento)
  • Programmazione degli interventi formativi.

Nei prossimi Post affronteremo ciascuno dei sopra indicati Punti segnalando soluzioni concrete e, ove possibile, proponendo facsimili documentali.

Il Garante privacy: più tutele per i Lavoratori

Troppe violazioni, servono più tutele per i dipendenti.

Redatto il Disciplinare sull’Uso di Internet e Posta Elettronica? Adottate le Nuove misure necessarie per gli Amministratori di Sistema?

Ecco un caso emblematico nel quale troppi Titolari di trattamento potranno riconoscersi.

Il Garante privacy che con un recente Provvedimento ha vietato all’Istituto Poligrafico alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti.

La decisione è stata adottata dall’Autorità a seguito di accertamenti effettuati per verificare la corretta applicazione da parte dell’Istituto della normativa in materia di protezione dei dati personali riguardo:

  • all’utilizzo di Internet e posta elettronica aziendale,
  • ai sistemi di telefonia su Internet (Voip),
  • alla correttezza dell’operato degli amministratori di sistema.

Il Provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza.

Fatto

Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, il Poligrafico:

  • monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo;
  • conservava per un tempo indeterminato i numeri di telefono chiamati da ogni dipendente tramite Voip e la durata delle singole conversazioni.

Trattamenti questi, non consentiti dallo Statuto dei lavoratori, che vieta il controllo a distanza dei lavoratori, ammettendolo solo in casi particolari e con l’adozione di necessarie garanzie.

I dati trattati dall’Istituto in violazione di legge non potranno quindi essere più utilizzati. Il Poligrafico potrà conservare le informazioni finora  raccolte solamente in vista di una eventuale acquisizione da parte dell’autorità giudiziaria.

Contestualmente al divieto, l’Autorità ha ordinato al Poligrafico:

Con riferimento ai fatti accertati è stato infine avviato un procedimento sanzionatorio per violazione degli obblighi di informativa e inosservanza dei provvedimenti dell’Autorità.

 

Privacy e 31 marzo: ultima chiamata

Col 31 marzo oramai alle porte e l’esponenziale interesse verso le scadenze privacy indissolubilmente legate all’inizio della primavera, qua di seguito pubblichiamo un rapido reminder di quello che va fatto, delle Misure di sicurezza necessarie da tenere d’occhio (e troppo spesso dimenticate dalle Aziende) e, perché no, ricordiamo qualche numero relativo alle sanzioni previste dall’ordinamento.

 

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve realizzare i seguenti adempimenti:
  • Aggiornamento del DPS (scarica il nostro modello di DPS 2011 Semplificato)
  • Redazione nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica adeguamento aziendale alla normativa privacy
  • Verifica delle attività 
degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del Mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili trattamento)
  • Programmazione  degli interventi formativi.

 

Alcune Misure necessarie di Sicurezza

Ricordiamo qui di seguito alcune tra le più recenti Misure di Sicurezza Necessarie introdotte da Provvedimenti del Garante:

 

Sanzioni Privacy e Rischio Sostenibile

Tralasciando l’argomento in più occasioni  affrontato, ovvero il rischio d’impresa come  occasione per realizzare un vantaggio  competitivo in termini di efficienza e  fidelizzazione dei Clienti, vogliamo qua di seguito fare un elenco nudo e crudo di alcune sanzioni previste dal Dlgs 196/2003, lasciando a voi le debite conclusioni:
  • Informativa: sanzioni amministrative da un minimo di 2.000 € sino a 1.200.000 € per mancanza di rilascio dell’informativa o rilascio di informativa inidonea
  • Misure Minime di Sicurezza: la mancata adozione delle misure minime di sicurezza prevede una sanzione da 8.000 € a 960.000 €
  • Disciplinare Interno sull’uso di Internet e Posta elettronica: la mancata adozione di tale disciplinare interno, provvisto di procedure per effettuare controlli su email e navigazione dei dipendenti, prevede sanzioni amministrative da 12.000 € a 1.440.000 €
  • DPS (Documento Programmatico sulla Sicurezza): la mancata adozione del DPS prevede una sanzione da 8.000 € a 960.000 €

 

Per chiarimenti o altro:  studio@mazzolari.eu

 

A tutti una serena Primavera