Job Act

17 Settembre 2017

Job Act

Il 17 settembre 2015 è stato pubblicato il testo definitivo della riforma dell’art.4 dello Statuto dei lavoratorI

La riforma prevede la possibilità di utilizzare e installare un impianto di videosorveglianza e altri strumenti, previa concertazione con le parti sindacali, limitamente alle seguenti finalità:

  • esigenze organizzative e produttive
  • sicurezza del lavoro
  • tutela del patrimonio aziendale
Permane il divieto di utilizzare gli impianti audiovisivi e altri strumenti per il controllo a distanza dei lavoratori. Se viene data idonea informativa al lavoratore ai sensi dell’art.13 e si segue i dettami del TU Privacy (compresi i provvedimenti e le Linee Guida) le informazioni raccolte possono essere utilizzate per tutti i fini connessi al rapporto di lavoro, compresi i fini disciplinari.   Testo newsletter Il 25 maggio 2018, è prevista la piena applicazione del Regolamento Europeo in tema di privacy GDPR 2016/679 Alcune azioni, possono essere intraprese sin d'ora perché sono fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale.   Formazione incaricati Il regolamento europeo, prescrive ai titolari del trattamento di far seguire ai propri collaboratori appositi corsi per acquisire conoscenze sulla normativa europea e nazionale in materia di protezione dei dati. La norma di riferimento è l'articolo 29 del regolamento europeo, secondo cui, il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare dati se non è istruito in tal senso dal Titolare del Trattamento.   Per questo motivo, siamo a chiedervi di segnalarci la vostra disponibilità per effettuare un corso di formazione presso la vostra sede per la formazione specifica di tutti i vostri incaricati prima di tale data.     Informativa e consenso I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1 e 14 paragrafo 1 del regolamento e in parte sono più ampi rispetto al Codice, come ad esempio la specifica dei tempi di conservazione dei dati o i criteri per stabilire tale periodo.   E' quindi opportuno prima di tale data che si verifichino tutte le informative che vengono utilizzate in azienda e se il consenso raccolto prima di tale data ha tutte le caratteristiche previste dal regolamento.   Figure di responsabilità: Titolare, Responsabile e Incaricato Il regolamento:
  • Disciplina la contitolarità del trattamento e impone ai titolari di definire specificatamente il rispettivo ambito di responsabilità e i compiti, con particolare riguardo l'esercizio dei diritti degli interessati.
  • Prevede che la designazione del responsabile del trattamento, dovrà essere un vero e proprio contratto che deve disciplinare tassativamente almeno quanto riportato nel paragrafo 3 dell'art.28
  • Riconosce la figura del sub-responsabile
  • Prevede obblighi specifici in capo ai responsabili del trattamento, come: la tenuta del registro dei trattamenti svolti, l'adozione delle misure tecniche e organizzative, la designazione di un DPO nei casi previsti, ecc..
  E' quindi opportuno prima di tale data valutare l'esistenza di situazioni di contitolarità  e stipulare se del caso l'accordo interno, apportare le opportune modifiche e integrazioni alle nomine dei responsabili del trattamento (prevedendo la possibilità di nominare anche dei sub-responsabili).   Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili Il regolamento pone con forza l'accento sulla responsabilizzazione di titolari e responsabili, ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento. Tra le principali novità  in termini di adempimenti da parte di titolari e responsabili del trattamento ci sono:
  • Registri del trattamento: Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere e indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Non si tratta di mero adempimento formale ma bensì di un sistema di corretta gestione dei dati personali
  • Misure di sicurezza: Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Per questo motivo non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza
  • Notifica delle violazioni di dati personali: a partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile derivino rischi per i diritti e le libertà degli interessati. Tutti i titolari dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati
  • Responsabile della protezione dei dati o DPO: Anche la designazione di questa figura riflette l'approccio responsabilizzate del regolamento, essendo finalizzata a facilitarne l'attuazione da parte del titolare e del responsabile. Fra i compiti del DPO rientra la formazione del personale e la sorveglianza sull'attuazione della valutazione di impatto. La designazione è obbligatoria in alcuni casi.
  Per tutti questi adempimenti previsti la Total Service ha previsto un software ad hoc di cui verrà effettuata una presentazione (si pensa subito dopo l'estate 2017) alla quale sarete tutti invitati a partecipare.   Regolamento Privacy GDPR 679/2016: le prime indicazioni del Garante per la scelta del responsabile della protezione dei dati   Il responsabile della protezione dei dati, figura prevista dal Regolamento Europeo UE 2016/679 non necessita di particolari titoli o abilitazioni ma  dovrà avere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Il garante afferma che sarà opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali.   Il Responsabile della Protezione dei dati dovrà infatti, controllare il pieno rispetto del regolamento, informare e sensibilizzare i dipendenti sugli obblighi in materia di riservatezza, valutare l'impatto delle attività svolte dall'azienda o dalla pubblica amministrazione e sul sistema di tutela delle informazioni personali. Anche per questo dovrà rappresentare un punto di contatto tra l'impresa e l'Autorità.   Violazioni di dati personali (data breach)   Il garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l'obbligo di comunicazione nei casi in cui, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità, si dovessero verificare perdita, distruzione o diffusione indebita di dati personali conservati, trasmessi o comunque trattati.   SOCIETA' TELEFONICHE E INTERNET PROVIDER Art.32- bis del Codice in materia di protezione dei dati personali (D.Lgs 196/2003), Regolamento UE 611/13, Provvedimento del Garante n.161 del 04 aprile 2013  
  • L'obbligo di comunicazione al Garante (mediante un apposito modello di comunicazione) riguarda i fornitori di servizi telefonici e di accesso a Internet (e non i siti internet che diffondono contenuti, i motori di ricerca, gli internet point, le reti aziendali)
  • In caso di violazione dei dati personali, società di TLC e ISP devono:
    • entro 24 ore dalla scoperta dell'evento, fornire al garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione
    • entro 3 giorni dalla scoperta informare anche ciascun utente coinvolto, comunicando gli elementi previsti dal regolamento 611/2013 e dal Provvedimento del garante n.161 del 4 aprile 2013
  • La comunicazione non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.
  • Per consentire l'attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.
  • SANZIONI AMMINISTRATIVE PREVISTE (art. 162-ter del Codice in materia di protezione dei dati personali)
    • per mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
    • per omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
    • per mancata tenuta dell'inventario delle violazioni aggiornato: da 20mila a 120mila euro
  BIOMETRIA Provvedimento n. 513 del 12 novembre 2014
  • Entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi
  DOSSIER SANITARIO ELETTRONICO Provvedimento n. 331 del 4 giugno 2015
  • Entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
  AMMINISTRAZIONI PUBBLICHE Provvedimento n. 392 del 2 luglio 2015  
  • Entro 48 ore dalla conoscenza del fatto, le amministrazioni pubbliche sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati
 

Potrebbero
interessarti

challenges-GDPR

4 Agosto 2022

Nuovi Adempimenti Privacy introdotti dal Decreto Trasparenza

Il Decreto Legislativo 27 giugno 2022, n. 104 (Gazzetta Ufficiale n. 176 del 29/07/2022) – attuazione della Direttiva (UE) 2019/1152 – meglio noto come Decreto Trasparenza, mediante l’articolo 4 “Modifiche al decreto legislativo 26 maggio 1997, n. 152“, comma 1, lettera b), introduce il nuovo articolo 1-bis rubricato “Ulteriori obblighi informativi nel caso di utilizzo […]

challenges-GDPR

4 Luglio 2022

Il Garante Dichiara Illecito Google Analytics

A conclusione di un’istruttoria avviata nel corso del 2020 sulla base di un reclamo, il Garante ha dichiarato che il sito web che utilizza lo strumento Google Analytics (GA) viola il Regolamento Europeo in materia di protezione dei dati personali (GDPR).

challenges-GDPR

11 Agosto 2021

Attività Ispettiva Garante Luglio- Dicembre 2021

Limitatamente al periodo luglio-dicembre 2021, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

challenges-GDPR

8 Gennaio 2021

Le sfide del GDPR: La testimonianza della regione Marche

Continua la serie di video interviste ad opera dell’Associazione ASSO DPO ai DPO referenti regionali e territoriali di tutta Italia. 

challenges-GDPR

30 Luglio 2020

GARANTE PER LA PRIVACY, STANZIONE E’ IL NUOVO PRESIDENTE

Eletto all’unanimità, dovrà vigilare su Gpdr, 5G, smart working e dati di aziende e consumatori. Ginevra Cerrina Feroni vicepresidente

challenges-GDPR

24 Marzo 2020

COVID-19 E AMBIENTI DI LAVORO:Gli adempimenti privacy da rispettare

challenges-GDPR

8 Gennaio 2020

Seminario 7 Febbraio

La Total Service è lieta di presentare e invitarvi al #seminario di #formazione #gratuito in tema #privacy, #antiriciclaggio e #231/01.

challenges-GDPR

3 Ottobre 2019

ANTIRICICLAGGIO : 1/01/2020 Sei pronto ? …

1 GENNAIO 2020  APPLICAZIONE DELLE REGOLE TECNICHE  Con un comunicato stampa del 23 gennaio 2019, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC) ha annunciato l’approvazione del documento “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. […]

challenges-GDPR

26 Luglio 2019

GDPR E VIDEOSORVEGLIANZA : L’EDPB PUBBLICA LE LINEE GUIDA

Sono state rese note dall’European Data Protection Board (EDPB) le linee guida 3/2019 del 12 luglio 2019 sul trattamento dei dati personali in merito ai servizi di videosorveglianza.

challenges-GDPR

29 Maggio 2019

VIDEOSORVEGLIANZA : Tutto ciò che occorre sapere su sanzioni e agevolazioni

Il numero crescente di furti e di effrazioni in aziende, attività commerciali ed abitazioni, ha fatto sì che l’esigenza di un sistema di videosorveglianza diventasse priorità di imprenditori come di privati cittadini, ma è fondamentale conoscere ogni dettaglio perché il tema va ad impattare sulla privacy delle persone.

challenges-GDPR

15 Maggio 2019

Il Garante Privacy presenta la relazione annuale 2018

L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2018.

challenges-GDPR

26 Febbraio 2019

CORSO DPO : Percorso Formativo Riconosciuto UNI11697:2017

Vuoi Fare della Privacy la tua professione ? Partecipa al corso per diventare DPO Data Protection Officer

challenges-GDPR

13 Febbraio 2019

GESTIONE AFFITTI – PRIVACY DOPPIA PER L’AMMINISTRATORE

Il Garante nazionale della Privacy, in riferimento all’ Art 12 del Regolamento Ue 16/679, ha ritenuto che il condominio venisse inquadrato come collettività dei condomini di cui  si compone, che sono essi stessi ‘’ contitolari di un unico, complessivo trattamento dei dati, del quale l’amministratore ha solo la concreta gestione (documento n. 1053868 del 16 […]

challenges-GDPR

8 Febbraio 2019

Consulenti del lavoro: quando sono responsabili del trattamento dei dati

Newsletter n.449 del 7 Febbraio 2019 Precisazioni del Garante privacy dopo il nuovo Regolamento UE 

challenges-GDPR

20 Novembre 2018

Fattura elettronica bocciata dal Garante Privacy

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati. Sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi

challenges-GDPR

16 Novembre 2018

Pubblicata la lista DPIA del Garante

Pubblicata dal Garante Italiano l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

challenges-GDPR

5 Settembre 2018

Pubblicazione Decreto Legislativo 101 del 10/08/2018

Ieri 04/09/2018 è stato pubblicato in Gazzetta Ufficiale il D.Lgs 101 del 10/08/2018 per l’adeguamento della normativa nazionale D.Lgs 196/2003 al GDPR.

challenges-GDPR

16 Maggio 2018

Comunicazione dei dati del DPO

In base all’articolo 37, paragrafo 7 del Regolamento UE 2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Data Protection Officer, se designato.

challenges-GDPR

4 Aprile 2018

CORSO DPO 2018

CORSO DI ALTA SPECIALIZZAZIONE DATA PROTECTION OFFICER – MANAGER PRIVACY- PRIVACY SPECIALIST : Nuove professioni per l’Europa

challenges-GDPR

20 Marzo 2018

GDPR : Otto miti da sfatare.

Mancano appena otto mesi alla piena operatività del GDPR, prevista per il 25 maggio 2018. Una scadenza che agita non poco le aziende. Anche perché intorno al nuovo regolamento europeo sulla protezione dei dati personali circolano non poche leggende urbane, non dissipate neppure dalle decine di convegni organizzati e dagli articoli pubblicati.

challenges-GDPR

29 Dicembre 2017

Valutazione d’impatto sulla protezione dei dati

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i […]

challenges-GDPR

29 Dicembre 2017

Piano Ispettivo Garante : secondo semestre 2017 e risultati primo semestre

Nelle scorse settimane l’Autorità ha varato il piano di accertamenti ispettivi per il secondo semestre 2017

challenges-GDPR

4 Dicembre 2017

GDPR : Da Maggio STOP ai trattamenti differenziati

Antonello Soro, Garante Privacy, ha affermato che “dal 25 maggio, non ci saranno più parti dell’Europa in cui i grandi operatori internazionali potranno godere di un trattamento differenziato rispetto a quello della Germania o dell’Italia”

challenges-GDPR

28 Novembre 2017

GDPR: Cambio approccio alla nuova Normativa

Molte sono le novità introdotte dal nuovo Regolamento UE 2016/679 sulla Protezione dei dati personali noto con l’acronimo “GDPR- General Data Protection Regulation” : dal Registro dei trattamenti, alla nomina del Data Protection Officer, dalla sicurezza dei dati personali, all’obbligo di notifica del Data Breach, ai nuovi diritti degli interessati, alla Privacy by Design e […]

challenges-GDPR

28 Novembre 2017

Autorita’ privacy UE : varate altre Linee guida sul nuovo Regolamento

Le Autorità di protezione dati europee hanno adottato nella riunione plenaria della settimana scorsa, alcuni importanti provvedimenti, utili ad interpretare in modo corretto e uniforme in tutti i Paesi dell’Unione europea il Regolamento 2016/679, in vista della piena applicazione che avverrà il 25 maggio 2018.

challenges-GDPR

1 Novembre 2017

Approvazione Regolamento Europeo

Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale […]

challenges-GDPR

17 Settembre 2017

Modulo Unificato Istanza alla DTL

E’ stato pubblicato sul sito del Ministero del Lavoro il Modulo Unificato Istanza di Autorizzazione all’Installazione di impianti di videosorveglianza e all’installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare GPS a bordo di mezzi aziendali ai sensi dell’art.4 della legge 20 maggio 1970 n.300 (Statuto dei Lavoratori)

challenges-GDPR

25 Maggio 2016

Allarme Cryptolocker

Le minacce provenienti dal web sono sempre più raffinate ed al contempo pericolose. Non ultima, ma sicuramente una delle più temute negli ultimi periodi, il Trojan Software (comunemente denominato virus) CryptoLocker.