Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Preganziol, 17/05/2018
Distinti saluti
E’ stato approvato il nuovo Regolamento Europeo per il trattamento dei dati personali, che andrà a
sostituire, dal prossimo 25 maggio 2018, le singole normative nazionali ed entrerà immediatamente in
vigore il giorno della sua promulgazione a livello europeo.
Già oggi è possibile adeguarsi a quanto, a brevissimo, prevedrà la nuova normativa, senza peraltro
mancare ad alcun adempimento previsto dall’attuale Legge Nazionale che è in fase di rielaborazione
da parte del Parlamento Italiano. Questo consente all’Azienda interessata di procedere ad una
implementazione e ad un adeguamento del Sistema Privacy, in modo graduale, adeguandolo e
conformandolo alle effettive esigenze, senza doverne rincorrere gli adempimenti e sostenendo costi
notevoli ed imprevisti.
Le principali nuove linee ed adempimenti sono le seguenti:
1. Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e
personale interno e a mantenere un database.
2. All’art. 5 lett. f) viene sancito il principio dell’accountability dei titolari del trattamento (poi
meglio specificato nell’art. 22), in virtù del quale spetta agli stessi un obbligo generalizzato e
preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni
singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare
i controller sin dalle fasi embrionali dei processi informativi).
3. Imprese ed enti pubblici dovranno introdurre la figura del Data Protection Officer (o privacy
officer = Responsabile del Trattamento dei dati personali aziendali) a cui affidare le policy in
materia di protezione dei dati; in campo pubblico la nuova struttura sarà sempre obbligatoria,
mentre le aziende private se ne dovranno dotare nel caso trattino un certo numero di contatti.
Si tratta di una nuova figura, incaricata specificatamente per svolgere compiti di
pianificazione, coordinamento e controllo in materia di Privacy all’interno dell’Azienda. La
Figura sarà dotata di effettiva responsabilità civile e penale, delegata in modo fattivo dal
Titolare del trattamento (sulla falsariga, similarmente, della figura del RSPP per la normativa
sulla Sicurezza sul Lavoro).
4. Sarà richiesto alle aziende di ottenere "specifici e espliciti" forme di consenso dagli utenti nelle
operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno degli istituti fondanti la presente
disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al
trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e
contenere il più possibile fenomeni di massa quali il direct profiling e il tracking cookies (si
renderà necessaria presumibilmente l’adozione di idonei filtri pop-up volti a saggiare la previa
approvazione del soggetto interessato). Il Titolare, inoltre, sarà gravato dall’onere di fornire la
prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra
l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal
senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento
(mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c. e 15
D.Lgs. 196/2003). Alla regola del consenso si affianca poi quella sulla trasparenza
dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche
per facilità di consultazione e intelligibilità di forma (l’onere dell’informativa all’interessato,
invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai
conosciutissimo art. 13 D.Lgs. 196/2003).
5. Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design) che riducano di
default il trattamento dei dati personali al minimo necessario, anche riguardo al periodo
massimo di conservazione, e ai soggetti che possono avere accesso ai dati. Questo avrà un
forte Impatto nello sviluppo di software destinati al trattamento dei dati (CRM, ERP, gestionali
ecc.) e sul rinnovamento di tutto il parco informatico delle imprese e studi professionali.
6. Sarà sancito l’obbligo di conservare documenti contenenti una serie di informazioni volte a
descrivere le operazioni di trattamento di dati personali gestite tanto dal titolare quanto dai
responsabili del trattamento (qualcosa di simile all'attuale DRSP, ma di portata ancora più
ampia). Quindi, la documentazione dovrà essere opportunamente studiata ed
appositamente predisposta al fine di poter supportare e dimostrare l’esistenza ed il corretto
funzionamento del Sistema Privacy aziendale.
7. Per le imprese sarà più facile trasferire i dati all'estero facendo leva sulle proprie regole interne.
8. Diventerà obbligatorio notificare eventuali perdite di informazioni (cosiddette serious breaches).
2. MODALITA’ ATTUATIVE
adempimenti Privacy ma non ancora effettivamente obbligatori nella loro osservanza e non in diretto
contrasto con la normativa nazionale vigente. Quest’ultima, nei prossimi mesi ed in vista del 25
maggio 2018, vedrà diversi interventi legislativi e/o di Provvedimento che punteranno ad una
necessaria armonizzazione della stessa con la nuova normativa europea. Proprio tale attività di
armonizzazione richiederà una successiva rielaborazione e taratura del Sistema Privacy che si andrà a
realizzare fin da subito.
L’intervento proposto ci consentirà d’armonizzare il Sistema di Gestione Privacy (SGP) “un po’ per
volta” e senza particolari traumi per le strutture coinvolte evitando rincorse normative che ci
esporrebbero inutilmente a concreti rischi sanzionatori.
Il progetto prevede la realizzazione e l’avvio di un Sistema di Gestione Privacy Aziendale (SGP). Tale
sistema prevede l’adozione di un sistema documentale di rendicontazione ed un insieme di
procedure a presidio delle attività di trattamento svolte in azienda.
L’adeguamento documentale e operativo (“Registro dei Trattamenti del Titolare”) della struttura si
realizza mediante lo svolgimento delle seguenti attività:
Verifica della liceità dei trattamenti
Adozione di Codici di Condotta Privacy
Classificazione dei Dati Personali rispetto alle tipologie di trattamento adottate
Classificazione dei Trattamenti
Valutazione del rispetto dei Principi Privacy introdotti al EU/2016/679
Stesura delle necessarie informative, consensi e clausole contrattuali privacy, coerenti per
tipologia, settore e contesto
Corretta gestione dei dati da parte degli incaricati
Individuazione e nomina dei Responsabili Esterni e degli Amministratori di Sistema
Verifica e l’integrazione della necessaria documentazione relativa alle aree di consulenza, di
formazione e studio, d’interscambio, di network, di ricerca, di promozione, delle risorse umane
e dei servizi all’utenza
Introduzione di specifiche istruzioni agli incaricati del trattamento
Verifica delle misure minime e idonee/adeguate tecnico-informatiche in essere: si farà una
necessaria valutazione tecnica di dettaglio, una valutazione rischi ed eventualmente
pianificate delle successive azioni di miglioramento dello stato delle misure ex art. 33 e
seguenti D.Lgs 196/03 (“Misure Minime”) e art. 32 GDPR 2016/679 (“Misure idonee/adeguate”)
Necessaria integrazione del sito web, consensi e clausole necessarie alla sua “messa a norma”
Predisposizione della necessaria documentazione relativa alle aree di gestione dei dati personali
di terzi
Dal punto di vista tecnologico dovranno essere previste e monitorate le seguenti
attività/adempimenti:
Gestione profili autorizzativi e relativa Procedura;
Definizione delle misure di sicurezza
Pianificazione delle eventuali azioni di remediation del Sistema di Sicurezza interno (antivirus,
patch management, etc.) e perimetrale (Firewall, VPN, etc.);
Eventuale stesura ed implementazione di una procedura di “Disaster Recovery” con particolare
riferimento alle aree “sensibili”;
Sistema di raccolta dati di log essenziali e di gestione delle analisi e degli eventuali alert sui
medesimi (gestione almeno dei Log ai fini degli adempimenti previsti per gli amministratori di
sistema);
Pianificazione delle azioni e dei test di verifica almeno annuali delle misure tecniche di sicurezza
dimostranti l’efficacia dei sistemi in essere, come previsto dall’art. 32 let. d) GDPR 2016/679).
La Vs società potrebbe essere nominata, per i propri servizi, quale “Responsabile Esterno” da parte di
Soggetti Terzi In tal caso potrebbe essere soggetto a verifica almeno annuale da parte dell’effettivo
Titolare dei dati personali trattati e, spessissimo, soggetto anche a ispezioni (ex comma 5 art. 29 D.Lgs
196/03). Tale situazione, se verificata, richiede l’adozione oltre alle misure di cui al Registro dei
Trattamenti anche di misure organizzative tali che possano dimostrare l’effettiva presenza di un SGP
funzionante ed il presidio e controllo dello stesso, oltre che di uno specifico “Registro dei trattamenti
del Responsabile”.
Completamento necessario è l’erogazione della necessaria informazione/formazione ai singoli
operatori in modo da renderli edotti sia delle basi della normativa (con particolare riferimento al
Nuovo Regolamento Europeo), che del suo funzionamento che delle implicanze di responsabilità
amministrativa e penale derivante dal trattamento dei dati.
La formazione dei responsabili è più approfondita, consentendo di calare le figure professionali nella
propria specifica realtà organizzativa e tecnologica. Spesso i responsabili infatti supervisionano e
coordinano (anche nella definizione degli ambiti di operatività) gli incaricati, quindi è da prevedere
un ciclo formativo specifico, con questionario di valutazione al termine del corso. Per i corsi base agli
incaricati, è previsto il rilascio di un certificato di proficua frequenza che attesti l’avvenuta formazione.
Naturalmente la formazione verrà profilata per area e tratterà anche delle specifiche procedure
privacy definite nel Manuale Procedurale Privacy, nel frattempo redatto ed adottato.
Le modalità di effettuazione dei corsi vengono valutate concordemente con gli obiettivi del cliente,
possono includere affiancamento “on the job” e sessioni in aula con documentazione da acquisire
nel corso delle lezioni e proiezione di slide riepilogative.
Tutti i corsi comprendono una panoramica della normativa, le basi di una corretta valutazione dei
processi privacy da parte degli incaricati o responsabili, la disamina delle misure di sicurezza e
protezione dei dati e l’indicazione delle best practice per operare in modo sicuro ed efficace nella
quotidianità lavorativa.
3. TEMPI DI REALIZZAZIONE
Il nostro consulente si rende disponibile fin da subito a prendere contatto con la Vs azienda al fine di
concordare una data di incontro.
Nel caso in cui la Vs azienda non dovesse rispettare i termini di pagamento, ISO Engineering si riserva
di sospendere la consulenza fino a pagamento delle fatture arretrate.
4. PRESTAZIONI ESCLUSE
Sono escluse dalla presente offerta tutte prestazioni non esplicitamente descritte.
Le prestazioni al di fuori della presente offerta saranno oggetto di ulteriore contrattazione ed
accettazione.
L’offerta non comprende la consulenza qualora durante l’analisi risultino i seguenti trattamenti:
sensibili, sanitari, giudiziari, (ad esclusione di quelli dei dipendenti), marketing massivo, profilazione,
gestione dei dati all’estero per aziende multinazionali.
Eventuale nomina della figura di Data Protection Officer (DPO).
Eventuali necessità che si dovessero delineare a seguito di aggiornamenti legislativi.
FORMAZIONE
FORMAZIONE del Personale
(Attività di cui al punto 2.1.) Ciclo di Formazione di 2 ore.
compresa
Calendario, programma e nr. Sede: Vostra Azienda.
partecipanti da definirsi.
Modalità di fatturazione: mensile divisa in 3 mensilità a partire dalla data di sottoscrizione del
contratto.
Modalità di pagamento: a 30 gg fine mese a mezzo bonifico bancario
6. VALIDITÀ DELL’OFFERTA
La ns. offerta è valida per Vs. gradito ordine entro 30 giorni dalla data di presentazione della stessa.
Siamo comunque a Vs. disposizione per illustrarVi eventuali parti non chiare.
7. PRIVACY
L’Informativa ai sensi e per gli effetti del GDPR UE 2016/679 relativi alla tutela del trattamento dei
dati personali è scaricabile dal sito www.isoengineering.it. Il relativo consenso al trattamento viene
richiesto nella fase di raccolta dati necessaria al perfezionamento del rapporto contrattuale
8. FORMALIZZAZIONE
La consegna della presente offerta firmata “per accettazione” costituirà il contratto.
Data____________________