Sei sulla pagina 1di 10

Progettazione ed erogazione di servizi di consulenza per l’implementazione di

Sistemi di Gestione per la Qualità, Ambiente e Sicurezza


e predisposizione documentazione su Responsabilità da prodotto e
Norme Tecniche. Progettazione ed erogazione di servizi di
UNI EN ISO 9001 alta formazione, formazione superiore e manageriale.

Spett.le Breviglieri srl


Corso del Popolo, 100
Rovigo RO

Preganziol, 02/05/18

Oggetto: CONVENZIONE RELATIVA ALL’ADEGUAMENTO AZIENDALE IN


MERITO AGLI ADEMPIMENTI OBBLIGATORI Ex D.Lgs 196/03
“CODICE DELLA PRIVACY” (attualmente in fase di
abrogazione) e GDPR 2016/679 SU VS CLIENTI

In allegato alla presente inviamo l’offerta n° 2594 rev. 3.

Distinti saluti

ISO Engineering S.r.l.


Occari Nicola

ISO Engineering S.r.l.


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
Capitale Sociale int. vers. € 12.000,00 - C.F. e P. IVA – Registro Imprese di Treviso 03060260266
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 2 di 10

OFFERTA 2594 rev 3


Cliente Breviglieri SRL

INDICE DEGLI ARGOMENTI

1) Scopo e Descrizione delle prestazioni.


2) Modalità attuative.
3) Tempi di realizzazione.
4) Prestazioni escluse.
5) Condizioni e modalità di pagamento.
6) Validità dell’offerta.
7) Privacy.
8) Formalizzazione.

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 3 di 10

1) SCOPO e DESCRIZIONE DELLE PRESTAZIONI


E’ stato approvato il nuovo Regolamento Europeo per il trattamento dei dati
personali, che andrà a sostituire, dal prossimo 25 maggio 2018, le singole normative
nazionali ed entrerà immediatamente in vigore il giorno della sua promulgazione a
livello europeo.
Già oggi è possibile adeguarsi a quanto, a brevissimo, prevedrà la nuova normativa,
senza peraltro mancare ad alcun adempimento previsto dall’attuale Legge
Nazionale. Questo consente all’Azienda interessata di procedere ad una
implementazione e ad un adeguamento del Sistema Privacy, in modo graduale,
adeguandolo e conformandolo alle effettive esigenze, senza doverne rincorrere gli
adempimenti e sostenendo costi notevoli ed imprevisti.
Le principali nuove linee ed adempimenti sono le seguenti:

1. Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i
dati su clienti e personale interno e a mantenere un database.
2. All’art. 5 lett. f) viene sancito il principio dell’accountability dei titolari del
trattamento (poi meglio specificato nell’art. 22), in virtù del quale spetta agli
stessi un obbligo generalizzato e preventivo di garantire e dimostrare la propria
conformità al Regolamento in relazione ad ogni singolo trattamento operato (si
tratta di una sorta di clausola generale volta a responsabilizzare i controller sin
dalle fasi embrionali dei processi informativi).
3. Imprese ed enti pubblici dovranno introdurre la figura del Data Protection Officer
(o privacy officer = Responsabile del Trattamento dei dati personali aziendali)
a cui affidare le policy in materia di protezione dei dati; in campo pubblico la
nuova struttura sarà sempre obbligatoria, mentre le aziende private se ne
dovranno dotare nel caso trattino un certo numero di contatti. Si tratta di una
nuova figura, incaricata specificatamente per svolgere compiti di
pianificazione, coordinamento e controllo in materia di Privacy all’interno
dell’Azienda. La Figura sarà dotata di effettiva responsabilità civile e penale,
delegata in modo fattivo dal Titolare del trattamento (sulla falsariga,
similarmente, della figura del RSPP per la normativa sulla Sicurezza sul Lavoro).
4. Sarà richiesto alle aziende di ottenere "specifici e espliciti" forme di consenso
dagli utenti nelle operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno
degli istituti fondanti la presente disciplina, ovvero il diritto dell’utente di
esprimere in maniera preventiva il consenso al trattamento delle proprie
informazioni, principio necessario ed inderogabile al fine di limitare e
contenere il più possibile fenomeni di massa quali il direct profiling e il tracking
cookies (si renderà necessaria presumibilmente l’adozione di idonei filtri pop-
up volti a saggiare la previa approvazione del soggetto interessato). Il Titolare,
inoltre, sarà gravato dall’onere di fornire la prova del consenso di quello
specifico trattamento autorizzato (art. 7, comma 1), il quale tra l’altro potrà
sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal
senso, il principio dell’inversione dell’onere probatorio circa la liceità del
trattamento (mutuando l’attuale impostazione derivante dal combinato
disposto degli art. 2050 c.c. e 15 D.Lgs. 196/2003). Alla regola del consenso si
affianca poi quella sulla trasparenza dell’informazione da fornire all’interessato
(art. 11), la quale dovrà contraddistinguersi anche per facilità di consultazione
e intelligibilità di forma (l’onere dell’informativa all’interessato, invece, è
codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai
conosciutissimo art. 13 D.Lgs. 196/2003).
ISO Engineering Srl
Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 4 di 10

5. Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design)


che riducano di default il trattamento dei dati personali al minimo necessario,
anche riguardo al periodo massimo di conservazione, e ai soggetti che
possono avere accesso ai dati. Questo avrà un forte Impatto nello sviluppo di
software destinati al trattamento dei dati (CRM, ERP, gestionali ecc.) e sul
rinnovamento di tutto il parco informatico delle imprese e studi professionali.
6. Sarà sancito l’obbligo di conservare documenti contenenti una serie di
informazioni volte a descrivere le operazioni di trattamento di dati personali
gestite tanto dal titolare quanto dai responsabili del trattamento (qualcosa di
simile all'attuale DRSP, ma di portata ancora più ampia). Quindi, la
documentazione dovrà essere opportunamente studiata ed appositamente
predisposta al fine di poter supportare e dimostrare l’esistenza ed il corretto
funzionamento del Sistema Privacy aziendale.
7. Per le imprese sarà più facile trasferire i dati all'estero facendo leva sulle proprie
regole interne.
8. Diventerà obbligatorio notificare eventuali perdite di informazioni (cosiddette
serious breaches).

Ulteriore misura è la predisposizione di un regolamento di protezione dei dati al fine


di costituire un sistema completo per la gestione della sicurezza nella tecnologia
dell’informazione, secondo quanto previsto dagli standard ISO/IEC 27001. La norma
è coerente con il sistema di gestione della qualità ISO 9001 e, grazie al sistema, è
possibile ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati
stessi di accesso non autorizzato o di trattamento non consentito. Si intende così
proteggere l’organizzazione dalla commissione dei reati, presupposto per la
responsabilità amministrativa quali delitti informatici e trattamento illecito di dati ai
sensi dell’articolo 24 bis del D.Lgs. 231/2001.
Benché sia stata abolita la redazione del DPS, sono ancora in vigore molteplici
obblighi e sanzioni che di seguito riportiamo:

Riepilogo dei principali obblighi 2018

 L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli
incaricati su di essi
 L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e
di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto
11)
 L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal
punto 12 al punto 14)
 L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati,
responsabili, amministratori di sistema etc. artt. 29 e 30 del codice e punto 15
dell'allegato B)
 L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti
illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del
personale (allegato B punti 16 e 17)
 L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B
punto 18)
 L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di
dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 5 di 10

 L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto


cartaceo (allegato B punto 27)
 L’obbligo di stabilire delle procedure di custodia durante il trattamento
(allegato B punto 28)
 L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli
atti (allegato B punto 29).

Quadro delle sanzioni per l’anno 2018

 Art. 161: Omessa o inidonea informativa all’interessato - Da 6.000 a 36.000 euro


 Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento - Da
10.000 a 60.000 euro
 Art. 162 c.2-ter: Inosservanza delle prescrizioni del Garante - Da 30.000 a 180.000
euro
 Art. 163: Omessa o incompleta notificazione - Da 20.000 a 120.000 euro
 Art. 164: Omessa informazione o esibizione al Garante - Da 10.000 a 60.000 euro
 Art. 167 c.1: Trattamento di dati personali senza consenso - Reclusione da 6 a 18
mesi
 Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati - Reclusione da
6 a 24 mesi
 Art. 167 c.2: Obbligo di separazione dei dati sensibili - Reclusione da 24 a 36 mesi
Art. 169: Omissione delle Misure Minime di sicurezza - Arresto fino a due anni

2) MODALITA’ ATTUATIVE

Fase preliminare:

In questa fase verranno effettuate una o più sessioni presso Vs cliente per la raccolta
di tutti i dati necessari ed una analisi, insieme ad uno o più incaricati, dei profili
legislativi, dei soggetti coinvolti, delle banche dati, dei rischi connessi e del sistema
informatico. Il disegno di dettaglio dei flussi di dati personali, cartacei/informatici, in
essere all’interno della struttura, da/verso la Vs società, i soggetti coinvolti
nell’attività, l’analisi specifica dei rischi e delle problematiche che emergeranno in
fase di Audit.

2.1 Realizzazione del progetto

Prevede l’elaborazione di tutta la documentazione necessaria e del Registro dei


Trattamenti aziendale, fornendo alla società un adeguamento di base alla
normativa Privacy vigente (Adeguamento al D.Lgs 196/03).

Tale adeguamento terrà conto già di quanto giuridicamente chiaro ad oggi, rispetto
al Nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR 2016/679),
relativamente agli adempimenti Privacy ma non ancora effettivamente obbligatori
nella loro osservanza e non in diretto contrasto con la normativa nazionale vigente.
Quest’ultima, nei prossimi mesi ed in vista del 25 maggio 2018, vedrà diversi interventi
legislativi e/o di Provvedimento che punteranno ad una necessaria armonizzazione
della stessa con la nuova normativa europea. Proprio tale attività di armonizzazione

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 6 di 10

richiederà una successiva rielaborazione e taratura del Sistema Privacy che si andrà
a realizzare fin da subito.

L’intervento proposto ci consentirà d’armonizzare il Sistema di Gestione Privacy (SGP)


“un po’ per volta” e senza particolari traumi per le strutture coinvolte evitando
rincorse normative che ci esporrebbero inutilmente a concreti rischi sanzionatori.

Il progetto prevede la realizzazione e l’avvio di un Sistema di Gestione Privacy


Aziendale (SGP). Tale sistema prevede l’adozione di un sistema documentale di
rendicontazione ed un insieme di procedure a presidio delle attività di trattamento
svolte in azienda.

L’adeguamento documentale e operativo (“Registro dei Trattamenti del Titolare”)


della struttura si realizza mediante lo svolgimento delle seguenti attività:

 Verifica della liceità dei trattamenti


 Adozione di Codici di Condotta Privacy
 Classificazione dei Dati Personali rispetto alle tipologie di trattamento adottate
 Classificazione dei Trattamenti
 Valutazione del rispetto dei Principi Privacy introdotti al EU/2016/679
 Stesura delle necessarie informative, consensi e clausole contrattuali privacy,
coerenti per tipologia, settore e contesto
 Corretta gestione dei dati da parte degli incaricati
 Individuazione e nomina dei Responsabili Esterni e degli Amministratori di
Sistema
 Verifica e l’integrazione della necessaria documentazione relativa alle aree di
consulenza, di formazione e studio, d’interscambio, di network, di ricerca, di
promozione, delle risorse umane e dei servizi all’utenza
 Introduzione di specifiche istruzioni agli incaricati del trattamento
 Verifica delle misure minime e idonee/adeguate tecnico-informatiche in essere:
si farà una necessaria valutazione tecnica di dettaglio, una valutazione rischi
ed eventualmente pianificate delle successive azioni di miglioramento dello
stato delle misure ex art. 33 e seguenti D.Lgs 196/03 (“Misure Minime”) e art. 32
GDPR 2016/679 (“Misure idonee/adeguate”)
 Necessaria integrazione del sito web, consensi e clausole necessarie alla sua
“messa a norma”
 Predisposizione della necessaria documentazione relativa alle aree di gestione
dei dati personali di terzi

Dal punto di vista tecnologico dovranno essere previste e monitorate le seguenti


attività/adempimenti:

 Gestione profili autorizzativi e relativa Procedura;


 Definizione delle misure di sicurezza
 Pianificazione delle eventuali azioni di remediation del Sistema di Sicurezza
interno (antivirus, patch management, etc.) e perimetrale (Firewall, VPN, etc.);
 Eventuale stesura ed implementazione di una procedura di “Disaster Recovery”
con particolare riferimento alle aree “sensibili”;

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 7 di 10

 Sistema di raccolta dati di log essenziali e di gestione delle analisi e degli


eventuali alert sui medesimi (gestione almeno dei Log ai fini degli
adempimenti previsti per gli amministratori di sistema);
 Pianificazione delle azioni e dei test di verifica almeno annuali delle misure
tecniche di sicurezza dimostranti l’efficacia dei sistemi in essere, come previsto
dall’art. 32 let. d) GDPR 2016/679)
 Analisi e verifica sito web (attività direttamente svolta dalla Breviglieri srl).

La Vs società potrebbe essere nominata dai Vs clienti, per i propri servizi, quale
“Responsabile Esterno”. In tal caso potrebbe essere soggetto a verifica almeno
annuale da parte dell’effettivo Titolare dei dati personali trattati e, spessissimo,
soggetto anche a ispezioni (ex comma 5 art. 29 D.Lgs 196/03). Tale situazione, se
verificata, richiede l’adozione oltre alle misure di cui al Registro dei Trattamenti
anche di misure organizzative tali che possano dimostrare l’effettiva presenza di un
SGP funzionante ed il presidio e controllo dello stesso, oltre che di uno specifico
“Registro dei trattamenti del Responsabile”.

2.2 Completamento necessario è l’erogazione della necessaria


informazione/formazione ai singoli operatori in modo da renderli edotti sia delle basi
della normativa (con particolare riferimento al Nuovo Regolamento Europeo), che
del suo funzionamento che delle implicanze di responsabilità amministrativa e
penale derivante dal trattamento dei dati.

La formazione dei responsabili è più approfondita, consentendo di calare le figure


professionali nella propria specifica realtà organizzativa e tecnologica. Spesso i
responsabili infatti supervisionano e coordinano (anche nella definizione degli ambiti
di operatività) gli incaricati, quindi è da prevedere un ciclo formativo specifico, con
questionario di valutazione al termine del corso. Per i corsi base agli incaricati, è
previsto il rilascio di un certificato di proficua frequenza che attesti l’avvenuta
formazione. Naturalmente la formazione verrà profilata per area e tratterà anche
delle specifiche procedure privacy definite nel Manuale Procedurale Privacy, nel
frattempo redatto ed adottato.

Le modalità di effettuazione dei corsi vengono valutate concordemente con gli


obiettivi del cliente, possono includere affiancamento “on the job” e sessioni in aula
con documentazione da acquisire nel corso delle lezioni e proiezione di slide
riepilogative.

Tutti i corsi comprendono una panoramica della normativa, le basi di una corretta
valutazione dei processi privacy da parte degli incaricati o responsabili, la disamina
delle misure di sicurezza e protezione dei dati e l’indicazione delle best practice per
operare in modo sicuro ed efficace nella quotidianità lavorativa.

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 8 di 10

3) TEMPI DI REALIZZAZIONE
Il nostro consulente si rende disponibile fin da subito a prendere contatto con i Vs
clienti al fine di concordare una data di incontro. L’attività si svolgerà
indicativamente da gennaio a maggio con conclusione delle attività entro maggio
2018.

4) PRESTAZIONI ESCLUSE
Sono escluse dalla presente offerta tutte prestazioni non esplicitamente descritte.
Le prestazioni al di fuori della presente offerta saranno oggetto di ulteriore
contrattazione ed accettazione.
L’offerta non comprende la consulenza qualora durante l’analisi risultino i seguenti
trattamenti: sensibili, sanitari, giudiziari, marketing massivo, profilazione, gestione dei
dati all’estero per aziende multinazionali.
Eventuale nomina della figura di Data Protection Officer (DPO).
Eventuali necessità che si dovessero delineare a seguito di aggiornamenti
legislativi.

5) CONDIZIONI E MODALITÀ DI PAGAMENTO

PUNTO 2.1 CONSULENZA

Dettaglio Tempi Organizzazione Costi

1700,00 € (su tale cifra verrà


Standard da 6
riservata alla Breviglieri srl una
dipendenti in su
provvigione parti a 500 €)

1000,00 € (su tale cifra verrà


Standard da 3 a 6
riservata alla Breviglieri srl una
dipendenti
provvigione parti a 300 €)

700,00 € (su tale cifra verrà


Attività di consulenza Tempi di progetto Standard sotto i 3
riservata alla Breviglieri srl una
iniziale, predisposizione previsti: 4 giornate dipendenti
provvigione parti a 150 €)
del SGP e di tutta la complessive sia
documentazione d’attività in loco 850,00 € (su tale cifra verrà
necessaria nel nuovo che in office (per gli Studi commercialisti riservata alla Breviglieri srl una
formato europeo. istituti scolastici si provvigione parti a 300 €)
Fatturazione alla stima un impegno di
consegna dei documenti almeno 6 giornate) 2200,00 € (su tale cifra verrà
Istituti scolastici
riservata alla Breviglieri srl una
(unica sede)
provvigione parti a 500 €)

2200,00 € + 500 € per ogni


plesso aggiuntivo al principale
Istituti scolastici (con (su tale cifra verrà riservata alla
più plessi) Breviglieri srl una provvigione
parti a 500 € + 100 € per ogni
plesso aggiuntivo)

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 9 di 10

FORMAZIONE del Personale: Formazione di base del Personale presso il Vs cliente in


2.1.
un’unica sessione di 2 ore (da definirsi l’articolazione e la programmazione).

PUNTO 2.2 FORMAZIONE

Dettaglio Tempi Costi


FORMAZIONE del Personale
Formazione di 2 ore. Compresa
Calendario, programma e nr.
partecipanti da definirsi. Sede: C/o Azienda cliente.

Non verranno addebitati costi di trasferta, vitto e alloggio.


Modalità di fatturazione: mensile divisa in 3 mensilità a partire dalla data di
sottoscrizione del contratto.
Modalità di pagamento: a 30 gg fine mese a mezzo bonifico bancario

Eventuali variazioni verranno valutate in accordo con il responsabile commerciale.

6) VALIDITÀ DELL’OFFERTA
La ns. offerta è valida per Vs. gradito ordine entro 30 giorni dalla data di
presentazione della stessa. Siamo comunque a Vs. disposizione per illustrarVi
eventuali parti non chiare.

7) PRIVACY
Informativa ai sensi dell'art. 13 del D.Lgs 30.6.2003 n. 196
1. Tutti i dati personali raccolti da ISO Engineering srl sono trattati mediante elaborazione
manuale cartacea e/o automatizzata in via del tutto riservata per finalità relative all'attività
professionale dello studio in adempimento degli obblighi previsti da leggi, da regolamenti e
dalla normativa comunitaria (in tale caso il conferimento dei dati è obbligatorio) nonché per
lo svolgimento di attività strettamente connesse e strumentali alla gestione del rapporto con i
clienti (in tale caso il conferimento dei dati è facoltativo, ma la mancanza del consenso al
trattamento comporterà l'impossibilità per la società ISO Engineering srl di prestare dette
attività).
2. I dati personali non verranno diffusi ovvero comunicati a terzi senza il preventivo consenso
dell'interessato, fatto salvo i casi di legge.
3. Conformemente a quanto previsto dall'art. 7 del D.Lgs 196/2003 in qualsiasi momento
l'interessato potrà ottenere la conferma dell'esistenza o meno dei suoi dati, la cancellazione
ovvero la trasformazione dei medesimi in forma anonima o il blocco dei dati trattati in
violazione della legge, l'aggiornamento, la rettificazione e l'integrazione degli stessi, nonché
di opporsi al trattamento dei suoi dati effettuato per fini diversi di quelli di cui al precedente
punto 1.
4. Il titolare del trattamento dei dati personali è la società ISO Engineering srl, con sede a
Preganziol, via Terraglio, 73.
5. Per qualsiasi informazioni sul trattamento dei dati personali l'interessato potrà contattare ISO
Engineering srl al numero 0422.431940.

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2594_PRIVACY_Convenzione Breviglieri srl rev 3 Pagina 10 di 10

8) FORMALIZZAZIONE
La consegna della presente offerta firmata “per accettazione” costituirà il contratto.
ISO Engineering S.r.l.
L’Amministratore
Ing. Occari Nicola

Offerta n 2594 rev 3 Luogo e data:_____________________

Per accettazione Timbro e Firma Azienda

_________________________

ISO Engineering Srl


Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422380920
e-mail : info@isoengineering.it – web : www.isoengineering.it