Sviluppo Sostenibile

Consulenti del Lavoro e Privacy

Precisazioni del Garante privacy 

In risposta ai quesiti provenienti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.

Pertanto, i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti edei propri clienti diretti, come ad esempio i liberi professionisti determinando le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il  caso dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Il Garante ha chiarito infine che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

Elenco dei trattamenti da sottoporre a Privacy Impact Assessment (Porvvedimento del Garante per la Privacy)

Il Garante per la Privacy con provvedimento dell' 11 ottobre 2018 (reso pubblico il 16 novembre 2018), ha pubblicato l’ “Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto”, nel rispetto delle linee guida previste dal Comitato Europeo per la Protezione dei Dati.

Il Garante ha individuato i seguenti trattamenti:

• Trattamenti valutativi o di scoring degli interessati (che comportano anche la profilazione), riferiti ad aspetti riguardanti ad esempio il rendimento professionale, la situazione economica, la salute, le referenze o gli interessi personali;
• Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere;
• Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc;
• Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, ad esempio, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
• Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
• Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
• Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT, sistemi di intelligenza artificiale, utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale, etc);
• Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
• Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
• Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
• Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
• Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Il provvedimento del garante si propone di portare maggior chiarezza su quali sono i titolari tenuti alla valutazione di impatto prevista all'art. 35 del GDPR  che prevede l'obbligo nei casi di:

• sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
• valutazione sistematica di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione;
• trattamento, su larga scala, di categorie particolari di dati personali, tra i quali rientrano i dati relativi allo stato di salute, all’origine razziale o etnica, all’orientamento religioso, alle condanne penali e reati.

L'elenco del garante ha valore puramente indicativo e di supporto, ma non esausistivo delle categorie didati da sottoporre a PIA. Resta infatti, in capo al titolare, nel rispetto del principio dell'accountability, l'obbligo di verificare e valutare quei trattamenti che non rientrano in tale elenco, ma che possano comportare comunque rischi per i diritti e le libertà delle persone.

L’ADEGUAMENTO ALLA NUOVA NORMATIVA SULLA PRIVACY GDPR 679/2016

                         AGGIORNAMENTI ALLA NORMATIVA 

                          (scarica scheda servizio in allegato)

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 (GDPR) in materia di protezione dei dati personali e privacy. Imprese e soggetti pubblici dovranno far fronte ad una serie di adempimenti organizzativi per prendere in carico le novità introdotte da questa norma.
Il regolamento introduce il concetto di "responsabilizzazione" (accountability) di titolari e responsabili che devono operare affinché sia dimostrata l' adozione di misure finalizzate ad assicurare l'applicazione del regolamento (artt. 23-25, e Capo IV del regolamento).
Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personalinel rispetto delle disposizioni normative.
Tra i criteri ispiratori il principale è "data protection by default and by design" che, per ciascun trattamento, debbano essere stabilite fin dall'inizio le garanzie indispensabili per il rispetto dei requisiti del regolamento e la tute dei diritti degli interessati. Questo criterio richiede, pertanto, un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento. I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment (DPIA - Data protection impact assessment) che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.
L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.
Il titolare potrà altresì consultare l'autorità di controllo competente per ottenere indicazioni sulla gestione del rischio residuale. In tal caso l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori da implementare e, se previsto, adottare tutte le misure correttive ai sensi dell'art. 58.
Altri importanti adempimenti da parte di titolari e responsabili del trattamento sono:- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve
essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. L' Autorità potrà valutare la definizione di linee-guida o buone prassi mentre, per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste.- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

Lever Up Consulting S.r.l. si è costituita come Società a Responsabilità Limitata nel 2005, è iscritta al Registro Imprese della Camera di Commercio Industria Artigianato Agricoltura di Napoli - Codice Fiscale e Partita IVA 05255991217 - ed ha sede in Mugnano di Napoli alla Via Eugenio Montale, 26F
80018; Tel. 081 19557195 
I servizi erogati sono finalizzati ad una crescita delle aziende orientata allo sviluppo sostenibile ed alla massima soddisfazione dei clienti e dei dipendenti(Qualità, Sicurezza dei Dati e delle Informazioni, Responsabilità Sociale, Sicurezza sul Lavoro).
Lever Up Consulting S.r.l., progetta e realizza interventi organizzativi e formativi volti al miglioramento della competitività e della qualità, allo sviluppo organizzativo e allo sviluppo delle risorse umane. Assiste le imprese e le organizzazioni pubbliche e private impegnate in processi di cambiamento, innovazione, miglioramento e creazione di valore. Offre, dunque, un'assistenza completa in ogni fase della vita dell'azienda ed in ogni settore, dal controllo dei processi produttivi e dei fornitori, alla cura ed al procacciamento della clientela, dall'organizzazione del personale ai processi di formazione e selezione, dalla comunicazione interaziendale alla comunicazione esterna con gestione diretta di uffici stampa e uffici gestione Qualità, offerta di canali pubblicitari e tutto quanto possa occorrere ad un'azienda moderna orientata alla crescita.

                       Il Piano di Intervento sarà articolato come segue:

- Analisi Aziendale Preliminare
- Progettazione esecutiva
- Redazione Organigramma Privacy
- Individuazione e Nomina DPO
- Classificazione dei dati e dei trattamenti
- Data Protection Impact Assessment (DPIA)
- Individuazione delle Misure di Sicurezza
- Informative e Consensi
- Nomine a Responsabili, titolari ed incaricati al Trattamento dei Dati- Nomina dell'Amministratore di Sistema
- Redazione Procedure ed Istruzioni Operative Privacy
- Predisposizione Registro Dati e Modulistica di Registrazione
- Formazione Frontale a tutto il personale
- Training on the Job per resp., titolari ed incaricati al trattamento dati
- Audit Finale di Conformità

                                Obiettivi della consulenza

- Censire la tipologia di dati trattati, i flussi di trattamento interni ed esterni, le strutture coinvolte, i rischi e le misure di sicurezza adottate, eventuali notificazioni ex art. 37 d.lgs. 196/03 al Garante per la protezione dei dati personali;
- Esaminare il rispetto delle condizioni di liceità e dei principi del trattamento;
- Identificare i ruoli "attivi" di trattamento (eventuali contitolari, responsabili
e sub-responsabili, incaricati), la designazione (ove dovuta) degli amministratori di sistema (e i complessivi adempimenti),
- Rendere disponibili le istruzioni e le procedure per la gestione i sicurezza dei dati, per la gestione dei diritti dell'interessato, di accertamento e scoperta di data breach, la gestione della posta elettronica e Internet e quant'altro necessario.
- Erogare la formazione necessaria al personale dipendente della società.
- Valutare l'attività di trattamento svolta da collaboratori esterni.
- Esaminare i profili giuslavoristici nella misura in cui sono richiamati dal Garante per la
protezione dei dati personali, in particolare con riferimento ai controlli datoriali
sull'attività lavorativa;
- Gestione in sicurezza di campagne di marketing, gestione di newsletter, cookies etc.
- Valutare le lettere di assunzione del personale,contratti con i collaboratori e contratti per i fornitori in merito alla gestione dei dati condivisi.
- Controllare periodicamente la conformità al Regolamento.

                                     CORSI DA EROGARE

                                           Tempistica

Gli interventi di consulenza saranno pianificati preventivamente e la durata
dell'intervento sarà stabilito prima della contrattualizzazione in base alla
tipologia dei dati trattati, alle necessità, al numero di sedi e ad altre varianti
concordate con il cliente nella massima trasparenza.

                          Le attività saranno gestite come segue:

- Giornate di consulenza ad altro profilo presso il cliente (Sede Centrale o sedi
delocalizzate secondo le opportunità);
- Giornate di consulenza di profilo Ordinario presso il cliente (Sede Centrale o sedi delocalizzate secondo le opportunità) ;
- Giornate presso gli Uffici Lever Up per (redazione, collazione moduli, documenti e reportistica).
Il rispetto della tempistica sarà subordinato alla piena collaborazione e
disponibilità del cliente nel rispetto della pianificazione .                                      

                                                 Cosa Faremo

- DPIA (Data protection impact assessment): un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento. Ispirata dal criterio data protection by default and by design".
I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.
L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.

- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.

- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i
provvedimenti adottati.

- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

- Modulistica e Registrazioni: Sarà redatta un organigramma privacy, con i responsabili, i titolari e gli incaricati alla gestione dei dati personali trattati dall'organizzazione. Si procederà all'implementazione di un'informativa in materia di trattamento dei dati personali ed il consenso espresso da parte di chi conferisce tali dati.
Saranno redatte lettere di incarico per tutte le figure dell'organigramma privacy, con annesse procedure per le modalità di gestione e le misure di sicurezza implementate.
Sarà redatta lettera di incarico per l'Amministratore del Sistema Informatico, con responsabilità di coordinamento, pianificazione e controllo delle procedure informatiche di protezione dei dati trattati.
Saranno formalizzate le modalità operative, i ruoli, le funzioni e le mansioni, nonché la pianificazione degli adempimenti, delle attività e dei controlli.

Lever Up assisterà l'organizzazione nella predisposizione del registro dei dati previsto dal Regolamento e fornirà le istruzioni per la gestione futura ed il mantenimento dello stesso e fornirà tutti i moduli necessari a gestire le registrazioni richieste dal regolamento in tema di violazioni, comunicazioni, cancellazione, restituzione dei dati e quant'altro occorre per mantenere la conformità alla normativa di riferimento.

- Formazione frontale ed on the job: Saranno tenute 2 ore di formazione d'aula per tutti i dipendenti, fornito materiale didattico ed illustrativo in materia di: 

- Gestione dei dati personali, Regolamento Europeo per il trattamento dei dati personali, Tipologia dei dati trattati dall'organizzazione, Misure di Sicurezza, Comportamenti ed Istruzioni Saranno previste inoltre 2 ore di affiancamento su tutte le funzioni incluse nell'organigramma privacy, per verificare e comprendere le problematiche inerenti la gestione dei dati, le modalità operative applicate all'attività quotidiana.

- Audit Finale di Conformità

- All'esito di tutte le attività sarà previsto un momento di verifica, in base ad una check list che sarà redatta contestualmente al report dell DPIA, per verificare la corretta attuazione di tutte le misure di sicurezza implementate, il rispetto delle procedure implementate e la conformità al Regolamento Privacy.

                                        LISTINO INTERVENTO

Per l'erogazione dell'intervento descritto, comprensivo di:
 - progettazione,
 - Redazione e collazione documenti e moduli,
 - Personale docente per la formazione, dell'emissione dei certificati di frequenza superamento dei corsi in formato pdf. È prevista l'applicazione dei seguenti costi:

Costo giornata consulenza alto impatto presso il cliente € 500,00
Costo giornata consulenza basso impatto presso il cliente € 200,00
Costo giornata consulenza presso Lever Up € 150,00

Gli importi sopra indicati sono al netto di IVA e non comprendono le spese di viaggio e trasferta dei nostri consulenti per le trasferte fuori regione, per le quali è previsto il rimborso dei costi sostenuti e riportati a piè di lista, a fronte di giustificativi oltre € 0,35/Km per spostamenti in auto. La fatturazione avverrà in tre soluzioni, con la prima rata alla sottoscrizione del contratto, la seconda a 60 giorni dalla sottoscrizione del contratto, la terza ed ultima rata alla consegna del rapporto di audit di confomità finale.
La Lever Up Consulting, è disponibile a fornire ogni ulteriore chiarimento si rendesse necessario e per lo sviluppo di ogni modifica del progetto di consulenza, secondo ogni vostra necessità.

                                                   CONTATTI
                                        Lever Up Consulting Srl
                    Via E. Montale, 26F - 80018 Mugnano di Napoli
  Mob (+39) 3897853044 Tel (+39) 081-19557195 - Fax (+39) 081 - 19720857
                     E.mail: info@leverup.it -Web: www.leverup.it

Unioncamere: presentato a Bruxelles il kit anticorruzione a misura di Pmi

Il  7 dicembre è stato presentato a Bruxelles,  nell'ambito della Giornata internazionale anti-corruzione, un kit online di strumenti per aiutare le piccole e medie imprese a prevenire e contrastare fenomeni corruttivi nei quali possono incorrere nei rapporti con le pubbliche amministrazioni.

Kit che fa parte del progetto ACTS (Anti-Corruption Toolkit for SMEs), proposto da Unioncamere e co-finanziato dal Fondo Sicurezza Interna dell'Unione Europea.

 Il toolkit, sarà disponibile a inizio febbraio sul sito http://www.acts-project.eu/

Clicca sul comunicato stampa per saperne di più.  Comunicato stampa

Privacy, linee guida sulla valutazione di impatto

Il Garante per la protezione dei dati personali ha informato che sono state adottate, dalle Autorità di protezione dati europee, le linee guida che aiuteranno le amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme.

Informazioni dettagliate sul sito http://garanteprivacy.it/DPIA 

Linee-guida del  Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) e Valutazione di impatto sulla protezione dei dati (DPIA) - art. 35 del Regolamento UE/2016/679.