Sviluppo Sostenibile

L’ADEGUAMENTO ALLA NUOVA NORMATIVA SULLA PRIVACY GDPR 679/2016

                         AGGIORNAMENTI ALLA NORMATIVA 

                          (scarica scheda servizio in allegato)

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 (GDPR) in materia di protezione dei dati personali e privacy. Imprese e soggetti pubblici dovranno far fronte ad una serie di adempimenti organizzativi per prendere in carico le novità introdotte da questa norma.
Il regolamento introduce il concetto di "responsabilizzazione" (accountability) di titolari e responsabili che devono operare affinché sia dimostrata l' adozione di misure finalizzate ad assicurare l'applicazione del regolamento (artt. 23-25, e Capo IV del regolamento).
Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personalinel rispetto delle disposizioni normative.
Tra i criteri ispiratori il principale è "data protection by default and by design" che, per ciascun trattamento, debbano essere stabilite fin dall'inizio le garanzie indispensabili per il rispetto dei requisiti del regolamento e la tute dei diritti degli interessati. Questo criterio richiede, pertanto, un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento. I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment (DPIA - Data protection impact assessment) che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.
L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.
Il titolare potrà altresì consultare l'autorità di controllo competente per ottenere indicazioni sulla gestione del rischio residuale. In tal caso l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori da implementare e, se previsto, adottare tutte le misure correttive ai sensi dell'art. 58.
Altri importanti adempimenti da parte di titolari e responsabili del trattamento sono:- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve
essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. L' Autorità potrà valutare la definizione di linee-guida o buone prassi mentre, per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste.- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

Lever Up Consulting S.r.l. si è costituita come Società a Responsabilità Limitata nel 2005, è iscritta al Registro Imprese della Camera di Commercio Industria Artigianato Agricoltura di Napoli - Codice Fiscale e Partita IVA 05255991217 - ed ha sede in Mugnano di Napoli alla Via Eugenio Montale, 26F
80018; Tel. 081 19557195 
I servizi erogati sono finalizzati ad una crescita delle aziende orientata allo sviluppo sostenibile ed alla massima soddisfazione dei clienti e dei dipendenti(Qualità, Sicurezza dei Dati e delle Informazioni, Responsabilità Sociale, Sicurezza sul Lavoro).
Lever Up Consulting S.r.l., progetta e realizza interventi organizzativi e formativi volti al miglioramento della competitività e della qualità, allo sviluppo organizzativo e allo sviluppo delle risorse umane. Assiste le imprese e le organizzazioni pubbliche e private impegnate in processi di cambiamento, innovazione, miglioramento e creazione di valore. Offre, dunque, un'assistenza completa in ogni fase della vita dell'azienda ed in ogni settore, dal controllo dei processi produttivi e dei fornitori, alla cura ed al procacciamento della clientela, dall'organizzazione del personale ai processi di formazione e selezione, dalla comunicazione interaziendale alla comunicazione esterna con gestione diretta di uffici stampa e uffici gestione Qualità, offerta di canali pubblicitari e tutto quanto possa occorrere ad un'azienda moderna orientata alla crescita.

                       Il Piano di Intervento sarà articolato come segue:

- Analisi Aziendale Preliminare
- Progettazione esecutiva
- Redazione Organigramma Privacy
- Individuazione e Nomina DPO
- Classificazione dei dati e dei trattamenti
- Data Protection Impact Assessment (DPIA)
- Individuazione delle Misure di Sicurezza
- Informative e Consensi
- Nomine a Responsabili, titolari ed incaricati al Trattamento dei Dati- Nomina dell'Amministratore di Sistema
- Redazione Procedure ed Istruzioni Operative Privacy
- Predisposizione Registro Dati e Modulistica di Registrazione
- Formazione Frontale a tutto il personale
- Training on the Job per resp., titolari ed incaricati al trattamento dati
- Audit Finale di Conformità

                                Obiettivi della consulenza

- Censire la tipologia di dati trattati, i flussi di trattamento interni ed esterni, le strutture coinvolte, i rischi e le misure di sicurezza adottate, eventuali notificazioni ex art. 37 d.lgs. 196/03 al Garante per la protezione dei dati personali;
- Esaminare il rispetto delle condizioni di liceità e dei principi del trattamento;
- Identificare i ruoli "attivi" di trattamento (eventuali contitolari, responsabili
e sub-responsabili, incaricati), la designazione (ove dovuta) degli amministratori di sistema (e i complessivi adempimenti),
- Rendere disponibili le istruzioni e le procedure per la gestione i sicurezza dei dati, per la gestione dei diritti dell'interessato, di accertamento e scoperta di data breach, la gestione della posta elettronica e Internet e quant'altro necessario.
- Erogare la formazione necessaria al personale dipendente della società.
- Valutare l'attività di trattamento svolta da collaboratori esterni.
- Esaminare i profili giuslavoristici nella misura in cui sono richiamati dal Garante per la
protezione dei dati personali, in particolare con riferimento ai controlli datoriali
sull'attività lavorativa;
- Gestione in sicurezza di campagne di marketing, gestione di newsletter, cookies etc.
- Valutare le lettere di assunzione del personale,contratti con i collaboratori e contratti per i fornitori in merito alla gestione dei dati condivisi.
- Controllare periodicamente la conformità al Regolamento.

                                     CORSI DA EROGARE

                                           Tempistica

Gli interventi di consulenza saranno pianificati preventivamente e la durata
dell'intervento sarà stabilito prima della contrattualizzazione in base alla
tipologia dei dati trattati, alle necessità, al numero di sedi e ad altre varianti
concordate con il cliente nella massima trasparenza.

                          Le attività saranno gestite come segue:

- Giornate di consulenza ad altro profilo presso il cliente (Sede Centrale o sedi
delocalizzate secondo le opportunità);
- Giornate di consulenza di profilo Ordinario presso il cliente (Sede Centrale o sedi delocalizzate secondo le opportunità) ;
- Giornate presso gli Uffici Lever Up per (redazione, collazione moduli, documenti e reportistica).
Il rispetto della tempistica sarà subordinato alla piena collaborazione e
disponibilità del cliente nel rispetto della pianificazione .                                      

                                                 Cosa Faremo

- DPIA (Data protection impact assessment): un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento. Ispirata dal criterio data protection by default and by design".
I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.
L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.

- Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.

- Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva . Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

- Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i
provvedimenti adottati.

- Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

- Modulistica e Registrazioni: Sarà redatta un organigramma privacy, con i responsabili, i titolari e gli incaricati alla gestione dei dati personali trattati dall'organizzazione. Si procederà all'implementazione di un'informativa in materia di trattamento dei dati personali ed il consenso espresso da parte di chi conferisce tali dati.
Saranno redatte lettere di incarico per tutte le figure dell'organigramma privacy, con annesse procedure per le modalità di gestione e le misure di sicurezza implementate.
Sarà redatta lettera di incarico per l'Amministratore del Sistema Informatico, con responsabilità di coordinamento, pianificazione e controllo delle procedure informatiche di protezione dei dati trattati.
Saranno formalizzate le modalità operative, i ruoli, le funzioni e le mansioni, nonché la pianificazione degli adempimenti, delle attività e dei controlli.

Lever Up assisterà l'organizzazione nella predisposizione del registro dei dati previsto dal Regolamento e fornirà le istruzioni per la gestione futura ed il mantenimento dello stesso e fornirà tutti i moduli necessari a gestire le registrazioni richieste dal regolamento in tema di violazioni, comunicazioni, cancellazione, restituzione dei dati e quant'altro occorre per mantenere la conformità alla normativa di riferimento.

- Formazione frontale ed on the job: Saranno tenute 2 ore di formazione d'aula per tutti i dipendenti, fornito materiale didattico ed illustrativo in materia di: 

- Gestione dei dati personali, Regolamento Europeo per il trattamento dei dati personali, Tipologia dei dati trattati dall'organizzazione, Misure di Sicurezza, Comportamenti ed Istruzioni Saranno previste inoltre 2 ore di affiancamento su tutte le funzioni incluse nell'organigramma privacy, per verificare e comprendere le problematiche inerenti la gestione dei dati, le modalità operative applicate all'attività quotidiana.

- Audit Finale di Conformità

- All'esito di tutte le attività sarà previsto un momento di verifica, in base ad una check list che sarà redatta contestualmente al report dell DPIA, per verificare la corretta attuazione di tutte le misure di sicurezza implementate, il rispetto delle procedure implementate e la conformità al Regolamento Privacy.

                                        LISTINO INTERVENTO

Per l'erogazione dell'intervento descritto, comprensivo di:
 - progettazione,
 - Redazione e collazione documenti e moduli,
 - Personale docente per la formazione, dell'emissione dei certificati di frequenza superamento dei corsi in formato pdf. È prevista l'applicazione dei seguenti costi:

Costo giornata consulenza alto impatto presso il cliente € 500,00
Costo giornata consulenza basso impatto presso il cliente € 200,00
Costo giornata consulenza presso Lever Up € 150,00

Gli importi sopra indicati sono al netto di IVA e non comprendono le spese di viaggio e trasferta dei nostri consulenti per le trasferte fuori regione, per le quali è previsto il rimborso dei costi sostenuti e riportati a piè di lista, a fronte di giustificativi oltre € 0,35/Km per spostamenti in auto. La fatturazione avverrà in tre soluzioni, con la prima rata alla sottoscrizione del contratto, la seconda a 60 giorni dalla sottoscrizione del contratto, la terza ed ultima rata alla consegna del rapporto di audit di confomità finale.
La Lever Up Consulting, è disponibile a fornire ogni ulteriore chiarimento si rendesse necessario e per lo sviluppo di ogni modifica del progetto di consulenza, secondo ogni vostra necessità.

                                                   CONTATTI
                                        Lever Up Consulting Srl
                    Via E. Montale, 26F - 80018 Mugnano di Napoli
  Mob (+39) 3897853044 Tel (+39) 081-19557195 - Fax (+39) 081 - 19720857
                     E.mail: info@leverup.it -Web: www.leverup.it

Unioncamere: presentato a Bruxelles il kit anticorruzione a misura di Pmi

Il  7 dicembre è stato presentato a Bruxelles,  nell'ambito della Giornata internazionale anti-corruzione, un kit online di strumenti per aiutare le piccole e medie imprese a prevenire e contrastare fenomeni corruttivi nei quali possono incorrere nei rapporti con le pubbliche amministrazioni.

Kit che fa parte del progetto ACTS (Anti-Corruption Toolkit for SMEs), proposto da Unioncamere e co-finanziato dal Fondo Sicurezza Interna dell'Unione Europea.

 Il toolkit, sarà disponibile a inizio febbraio sul sito http://www.acts-project.eu/

Clicca sul comunicato stampa per saperne di più.  Comunicato stampa

Privacy, linee guida sulla valutazione di impatto

Il Garante per la protezione dei dati personali ha informato che sono state adottate, dalle Autorità di protezione dati europee, le linee guida che aiuteranno le amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme.

Informazioni dettagliate sul sito http://garanteprivacy.it/DPIA 

Linee-guida del  Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) e Valutazione di impatto sulla protezione dei dati (DPIA) - art. 35 del Regolamento UE/2016/679.

Riduzione contributiva nel settore dell’edilizia per il 2017.

AVVISO E/O PROMEMORIA PER I DATORI DI LAVORO.

La circolare INPS 1° settembre 2017, n. 129, conferma la riduzione contributiva dell'edilizia per il 2017, i datori di lavoro, che ne vogliono usufruire,  devono  inviare domanda, tramite servizio online, entro il 15 gennaio 2018, avvalendosi delle denunce contributive UNIEMENS con competenza fino al mese di dicembre 2017.

La riduzione, nella misura del 11,5%, per le assicurazioni sociali diverse da quella pensionistica si applica ai soli operai occupati 40 ore a settimana in aziende classificate nel settore industria, con i codici statistici contributivi da 11301 a 11305, e nel settore dell'artigianato, con i codici statistici contributivi da 41301 a 41305, nonché caratterizzati dai codici Ateco 2007 da 412000 a 439909.

Per consultare la circolare del 5 luglio 2017 che ha confermato per l'anno 2017 la riduzione dei contributi previdenziali e assistenziali in favore dei datori di lavoro del settore edile cliccare sul link sottostante

https://www.inps.it/bussola/VisualizzaDoc.aspx?sVirtualURL=%2fCircolari%2fCircolare%20numero%20129%20del%2001-09-2017.htm

Servizi di pulizia, serve la certificazione Emas

L'art. 213 comma 2 del D.lgs 50/2016 (Codice dei Contratti di Appalti), prevede l'adozione di schemi tipo, in diversi settori merceologici.

Nell'ambito del settore cleaning, è stato redatto il  bando-tipo n. 2/2017: "Schema tipo di disciplinare una gara per l'affidamento di contratti pubblici di servizi di pulizia, di importo pari o superiore alla soglia comunitaria, aggiudicati all'offerta economicamente più vantaggiosa secondo il miglior rapporto qualità-prezzo", attualmente in bozza, per la consultazione fino all'11 ottobre 2017.

Tra gli altri criteri di selezione, il bando-tipo prevede l'obbligatorietà della certificazione EMAS o altri schemi internazionali riconosciuti, nonché criteri per la corretta stima del personale per verificare attentamente le offerte e il loro rispetto dei contratti collettivi nazionali di lavoro.

Scarica la bozza tipo di disciplinare n. 2/2017