Blog
Un blog creato da leverup il 30/12/2008

Sviluppo Sostenibile

Qualità Ambiente & Sicurezza per le Imprese

 
 

I MIEI SITI PREFERITI

AREA PERSONALE

 

ARCHIVIO MESSAGGI

 
 << Marzo 2024 >> 
 
LuMaMeGiVeSaDo
 
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
 
 

CERCA IN QUESTO BLOG

  Trova
 

FACEBOOK

 
 

FACEBOOK

 
 

TAG

 

ULTIME VISITE AL BLOG

karen_71cassetta2prefazione09acer.250amorino11moon_Iannamatrigianorosalba.soligoamistad.siempresuarez65giovanni80_7marabertowdony686marinovincenzo1958cuorevagabondo_1962
 

CHI PUÒ SCRIVERE SUL BLOG

Tutti gli utenti registrati possono pubblicare messaggi in questo Blog e tutti possono pubblicare commenti.
I messaggi sono moderati dall'autore del blog, verranno verificati e pubblicati a sua discrezione.
 
RSS (Really simple syndication) Feed Atom
 
 

 

« Unioncamere: presentato ...Elenco dei trattamenti d... »

L’ADEGUAMENTO ALLA NUOVA NORMATIVA SULLA PRIVACY GDPR 679/2016

Post n°213 pubblicato il 05 Marzo 2018 da leverup
 

                         AGGIORNAMENTI ALLA NORMATIVA 

                          (scarica scheda servizio in allegato)

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 (GDPR) in materia di protezione dei dati personali e privacy. Imprese e soggetti pubblici dovranno far fronte ad una serie di adempimenti organizzativi per prendere in carico le novità introdotte da questa norma.
Il regolamento introduce il concetto di "responsabilizzazione" (accountability) di titolari e responsabili che devono operare affinché sia dimostrata l' adozione di misure finalizzate ad assicurare l'applicazione del regolamento (artt. 23-25, e Capo IV del regolamento).
Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personalinel rispetto delle disposizioni normative.
Tra i criteri ispiratori il principale è "data protection by default and by design" che, per ciascun trattamento, debbano essere stabilite fin dall'inizio le garanzie indispensabili per il rispetto dei requisiti del regolamento e la tute dei diritti degli interessati. Questo criterio richiede, pertanto, un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento. I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment (DPIA - Data protection impact assessment) che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.
L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.
Il titolare potrà altresì consultare l'autorità di controllo competente per ottenere indicazioni sulla gestione del rischio residuale. In tal caso l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori da implementare e, se previsto, adottare tutte le misure correttive ai sensi dell'art. 58.
Altri importanti adempimenti da parte di titolari e responsabili del trattamento sono:- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve
essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. L' Autorità potrà valutare la definizione di linee-guida o buone prassi mentre, per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste.- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

Lever Up Consulting S.r.l. si è costituita come Società a Responsabilità Limitata nel 2005, è iscritta al Registro Imprese della Camera di Commercio Industria Artigianato Agricoltura di Napoli - Codice Fiscale e Partita IVA 05255991217 - ed ha sede in Mugnano di Napoli alla Via Eugenio Montale, 26F
80018; Tel. 081 19557195 
I servizi erogati sono finalizzati ad una crescita delle aziende orientata allo sviluppo sostenibile ed alla massima soddisfazione dei clienti e dei dipendenti(Qualità, Sicurezza dei Dati e delle Informazioni, Responsabilità Sociale, Sicurezza sul Lavoro).
Lever Up Consulting S.r.l., progetta e realizza interventi organizzativi e formativi volti al miglioramento della competitività e della qualità, allo sviluppo organizzativo e allo sviluppo delle risorse umane. Assiste le imprese e le organizzazioni pubbliche e private impegnate in processi di cambiamento, innovazione, miglioramento e creazione di valore. Offre, dunque, un'assistenza completa in ogni fase della vita dell'azienda ed in ogni settore, dal controllo dei processi produttivi e dei fornitori, alla cura ed al procacciamento della clientela, dall'organizzazione del personale ai processi di formazione e selezione, dalla comunicazione interaziendale alla comunicazione esterna con gestione diretta di uffici stampa e uffici gestione Qualità, offerta di canali pubblicitari e tutto quanto possa occorrere ad un'azienda moderna orientata alla crescita.

                       Il Piano di Intervento sarà articolato come segue:

- Analisi Aziendale Preliminare
- Progettazione esecutiva
- Redazione Organigramma Privacy
- Individuazione e Nomina DPO
- Classificazione dei dati e dei trattamenti
- Data Protection Impact Assessment (DPIA)
- Individuazione delle Misure di Sicurezza
- Informative e Consensi
- Nomine a Responsabili, titolari ed incaricati al Trattamento dei Dati- Nomina dell'Amministratore di Sistema
- Redazione Procedure ed Istruzioni Operative Privacy
- Predisposizione Registro Dati e Modulistica di Registrazione
- Formazione Frontale a tutto il personale
- Training on the Job per resp., titolari ed incaricati al trattamento dati
- Audit Finale di Conformità

                                Obiettivi della consulenza

- Censire la tipologia di dati trattati, i flussi di trattamento interni ed esterni, le strutture coinvolte, i rischi e le misure di sicurezza adottate, eventuali notificazioni ex art. 37 d.lgs. 196/03 al Garante per la protezione dei dati personali;
- Esaminare il rispetto delle condizioni di liceità e dei principi del trattamento;
- Identificare i ruoli "attivi" di trattamento (eventuali contitolari, responsabili
e sub-responsabili, incaricati), la designazione (ove dovuta) degli amministratori di sistema (e i complessivi adempimenti),
- Rendere disponibili le istruzioni e le procedure per la gestione i sicurezza dei dati, per la gestione dei diritti dell'interessato, di accertamento e scoperta di data breach, la gestione della posta elettronica e Internet e quant'altro necessario.
- Erogare la formazione necessaria al personale dipendente della società.
- Valutare l'attività di trattamento svolta da collaboratori esterni.
- Esaminare i profili giuslavoristici nella misura in cui sono richiamati dal Garante per la
protezione dei dati personali, in particolare con riferimento ai controlli datoriali
sull'attività lavorativa;
- Gestione in sicurezza di campagne di marketing, gestione di newsletter, cookies etc.
- Valutare le lettere di assunzione del personale,contratti con i collaboratori e contratti per i fornitori in merito alla gestione dei dati condivisi.
- Controllare periodicamente la conformità al Regolamento.

                                     CORSI DA EROGARE

                                           Tempistica

Gli interventi di consulenza saranno pianificati preventivamente e la durata
dell'intervento sarà stabilito prima della contrattualizzazione in base alla
tipologia dei dati trattati, alle necessità, al numero di sedi e ad altre varianti
concordate con il cliente nella massima trasparenza.

                          Le attività saranno gestite come segue:

- Giornate di consulenza ad altro profilo presso il cliente (Sede Centrale o sedi
delocalizzate secondo le opportunità);
- Giornate di consulenza di profilo Ordinario presso il cliente (Sede Centrale o sedi delocalizzate secondo le opportunità) ;
- Giornate presso gli Uffici Lever Up per (redazione, collazione moduli, documenti e reportistica).
Il rispetto della tempistica sarà subordinato alla piena collaborazione e
disponibilità del cliente nel rispetto della pianificazione .                                      

                                                 Cosa Faremo

- DPIA (Data protection impact assessment): un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento. Ispirata dal criterio data protection by default and by design".
I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.
L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.

- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.

- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i
provvedimenti adottati.

- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

- Modulistica e Registrazioni: Sarà redatta un organigramma privacy, con i responsabili, i titolari e gli incaricati alla gestione dei dati personali trattati dall'organizzazione. Si procederà all'implementazione di un'informativa in materia di trattamento dei dati personali ed il consenso espresso da parte di chi conferisce tali dati.
Saranno redatte lettere di incarico per tutte le figure dell'organigramma privacy, con annesse procedure per le modalità di gestione e le misure di sicurezza implementate.
Sarà redatta lettera di incarico per l'Amministratore del Sistema Informatico, con responsabilità di coordinamento, pianificazione e controllo delle procedure informatiche di protezione dei dati trattati.
Saranno formalizzate le modalità operative, i ruoli, le funzioni e le mansioni, nonché la pianificazione degli adempimenti, delle attività e dei controlli.

Lever Up assisterà l'organizzazione nella predisposizione del registro dei dati previsto dal Regolamento e fornirà le istruzioni per la gestione futura ed il mantenimento dello stesso e fornirà tutti i moduli necessari a gestire le registrazioni richieste dal regolamento in tema di violazioni, comunicazioni, cancellazione, restituzione dei dati e quant'altro occorre per mantenere la conformità alla normativa di riferimento.

- Formazione frontale ed on the job: Saranno tenute 2 ore di formazione d'aula per tutti i dipendenti, fornito materiale didattico ed illustrativo in materia di: 

- Gestione dei dati personali, Regolamento Europeo per il trattamento dei dati personali, Tipologia dei dati trattati dall'organizzazione, Misure di Sicurezza, Comportamenti ed Istruzioni Saranno previste inoltre 2 ore di affiancamento su tutte le funzioni incluse nell'organigramma privacy, per verificare e comprendere le problematiche inerenti la gestione dei dati, le modalità operative applicate all'attività quotidiana.

- Audit Finale di Conformità

- All'esito di tutte le attività sarà previsto un momento di verifica, in base ad una check list che sarà redatta contestualmente al report dell DPIA, per verificare la corretta attuazione di tutte le misure di sicurezza implementate, il rispetto delle procedure implementate e la conformità al Regolamento Privacy.

                                        LISTINO INTERVENTO

Per l'erogazione dell'intervento descritto, comprensivo di:
 - progettazione,
 - Redazione e collazione documenti e moduli,
 - Personale docente per la formazione, dell'emissione dei certificati di frequenza superamento dei corsi in formato pdf. È prevista l'applicazione dei seguenti costi:

Costo giornata consulenza alto impatto presso il cliente € 500,00
Costo giornata consulenza basso impatto presso il cliente € 200,00
Costo giornata consulenza presso Lever Up € 150,00

Gli importi sopra indicati sono al netto di IVA e non comprendono le spese di viaggio e trasferta dei nostri consulenti per le trasferte fuori regione, per le quali è previsto il rimborso dei costi sostenuti e riportati a piè di lista, a fronte di giustificativi oltre € 0,35/Km per spostamenti in auto. La fatturazione avverrà in tre soluzioni, con la prima rata alla sottoscrizione del contratto, la seconda a 60 giorni dalla sottoscrizione del contratto, la terza ed ultima rata alla consegna del rapporto di audit di confomità finale.
La Lever Up Consulting, è disponibile a fornire ogni ulteriore chiarimento si rendesse necessario e per lo sviluppo di ogni modifica del progetto di consulenza, secondo ogni vostra necessità.

                                                   CONTATTI
                                        Lever Up Consulting Srl
                    Via E. Montale, 26F - 80018 Mugnano di Napoli
  Mob (+39) 3897853044 Tel (+39) 081-19557195 - Fax (+39) 081 - 19720857
                     E.mail: info@leverup.it -Web: www.leverup.it

 
 
 
Vai alla Home Page del blog
 
 
 
 

© Italiaonline S.p.A. 2024Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963