Febbraio 2020
Febbraio 2020
Newsletter 2/2020
Software: pillole d'uso
Come creare un nuovo "trattamento dati"
Il Software prevede un elenco standard di alcuni dei trattamenti dei dati più comuni. Quando però è necessario crearne uno nuovo, ne vanno impostati i parametri. Ecco come fare.
È utile creare un nuovo trattamento dei dati quando le sue caratteristiche non sono quelle impostate nello standard proposto nel Software.
Prima di procedere con la creazione di un nuovo trattamento, è necessario inserire la finalità per la quale questo nuovo trattamento è giustificato (ad esempio: “Videosorveglianza”).
All’interno del menù CONFIGURAZIONE, selezionare tra le TABELLE DI BASE la tabella FINALITA’ DEL TRATTAMENTO. Premendo il tasto NUOVO inizia la procedura di creazione del nuovo trattamento.
Inserire nel campo DESCRIZIONE la finalità desiderata e nel campo VALIDITA’ la data a partire dalla quale verrà effettuato il trattamento. Andranno poi definiti i parametri previsti dalla scheda andando a recuperare i dati dalle relative tabelle (premendo il tasto INSERISCI):
È utile creare un nuovo trattamento dei dati quando le sue caratteristiche non sono quelle impostate nello standard proposto nel Software.
Prima di procedere con la creazione di un nuovo trattamento, è necessario inserire la finalità per la quale questo nuovo trattamento è giustificato (ad esempio: “Videosorveglianza”).
All’interno del menù CONFIGURAZIONE, selezionare tra le TABELLE DI BASE la tabella FINALITA’ DEL TRATTAMENTO. Premendo il tasto NUOVO inizia la procedura di creazione del nuovo trattamento.
Inserire nel campo DESCRIZIONE la finalità desiderata e nel campo VALIDITA’ la data a partire dalla quale verrà effettuato il trattamento. Andranno poi definiti i parametri previsti dalla scheda andando a recuperare i dati dalle relative tabelle (premendo il tasto INSERISCI):
- il periodo di conservazione dei dati
- le tipologie di dati trattati
- le condizioni di liceità (artt. 6, 9 e 28 del GDPR)
- le categorie di Interessati coinvolti
- i possibili destinatari
- le misure organizzative adottate
Una volta completato l’inserimento dei parametri richiesti, premere il tasto AZIONI in alto nella barra orizzontale e poi Salva. Nel caso si fossero dimenticati dei parametri, il Software darà una indicazione correttiva. Per inserire il trattamento tra quelli effettivi, seguire la procedura guidata.
Entrare nel menu “Trattamenti effettivi”, selezionare la ditta in cui si applica il nuovo trattamento, premere il tasto “Creazione multipla”, selezionare tra le Finalità del trattamento quello appena creato e premere AVANTI. La procedura guidata invita a completare altri 2 passaggi:
Entrare nel menu “Trattamenti effettivi”, selezionare la ditta in cui si applica il nuovo trattamento, premere il tasto “Creazione multipla”, selezionare tra le Finalità del trattamento quello appena creato e premere AVANTI. La procedura guidata invita a completare altri 2 passaggi:
- Integra dati: selezionare il trattamento e completare con i parametri richiesti nella scheda (esempio: data di validità) e premere AVANTI.
- Assegna soggetti attivi: selezionare il trattamento e completare i dati relativi ai soggetti attivi che concorrono al trattamento (nel ruolo di Contitolare, Responsabile o Incaricato). Premi CONFERMA per ultimare l’inserimento.La procedura guidata per inserire il nuovo trattamento tra quelli effettivi viene conclusa selezionando ELABORA.
Osservatorio Vecomp
Coronavirus: il provvedimento n.15 del Garante
Il Garante per la Privacy italiano ha dato il via libera alla Protezione Civile sull’interscambio di dati sensibili per contrastare il Coronavirus.
A seguito della Delibera del Consiglio dei Ministri del 31 gennaio 2020 con la quale è stato dichiarato, per sei mesi, lo stato di emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza del Coronavirus, il Capo del Dipartimento della protezione civile ha chiesto con urgenza il parere del Garante privacy in ordine a una bozza di ordinanza, contenente i primi interventi urgenti di protezione civile in relazione alla predetta emergenza.
L’intervento del Garante è stato richiesto perché la bozza di ordinanza contiene alcune disposizioni specifiche sul trattamento dei dati personali. Nel dettaglio:
L’intervento del Garante è stato richiesto perché la bozza di ordinanza contiene alcune disposizioni specifiche sul trattamento dei dati personali. Nel dettaglio:
- all’art. 5 si prevede che i soggetti operanti nel Servizio nazionale di Protezione Civile possono effettuare trattamenti, ivi compresa la comunicazione tra loro, di dati personali anche sensibili e giudiziari (il riferimento è fatto agli artt. 9 e 10 del GDPR) che risultino necessari per l’espletamento della funzione di protezione civile;
- inoltre, si prevede che la comunicazione dei dati personali a soggetti pubblici e privati è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività previste dall’ordinanza.
- infine, si specifica che i soggetti operanti nel Servizio nazionale di protezione civile possono attribuire specifici compiti e funzioni connessi al trattamento di dati (le autorizzazioni di cui all’art. 2-quaterdecies del Codice Privacy) con modalità semplificate, anche oralmente.
Con Provvedimento n. 15 del 2 febbraio 2020 il Garante ha espresso parere favorevole, pur evidenziando la necessità che, alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.
Clicca qui per approfondire
Violazioni marketing, il Garante Privacy multa Tim per 28 milioni
Il Garante ha sanzionato Tim per quasi 28 milioni di euro a causa di numerosi trattamenti illeciti di dati ad uso commerciale. La sentenza rappresenta un monito per coloro che adottano queste procedure illecite: si rischiano sanzioni molto salate e anche conseguenze penali.
L’Autorità Garante ha ritenuto di avviare una specifica attività ispettiva nei confronti di TIM, dopo la ricezione di centinaia di segnalazioni relative alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni. Gli utenti venivano contattati nonostante avessero più volte espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.
Clamoroso il caso di un utente, non cliente Tim, contattato 155 volte in un mese. In circa 200mila casi - puntualizza il Garante - sono state contattate anche numerazioni “fuori lista”, ossia non presenti negli elenchi delle persone contattabili di Tim. Rilevate inoltre ulteriori condotte illecite: assenza di controllo da parte della società sull’operato di alcuni call center, gestione dei tempi di conservazione dei dati trattati, etc La gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da parte della società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). La sanzione si accompagna con l’imposizione di 20 misure correttive che dovranno essere applicate e documentate entro 30 giorni.
Clicca qui per approfondire
Clicca qui per approfondire
Violazioni marketing, il Garante Privacy multa Tim per 28 milioni
Il Garante ha sanzionato Tim per quasi 28 milioni di euro a causa di numerosi trattamenti illeciti di dati ad uso commerciale. La sentenza rappresenta un monito per coloro che adottano queste procedure illecite: si rischiano sanzioni molto salate e anche conseguenze penali.
L’Autorità Garante ha ritenuto di avviare una specifica attività ispettiva nei confronti di TIM, dopo la ricezione di centinaia di segnalazioni relative alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni. Gli utenti venivano contattati nonostante avessero più volte espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.
Clamoroso il caso di un utente, non cliente Tim, contattato 155 volte in un mese. In circa 200mila casi - puntualizza il Garante - sono state contattate anche numerazioni “fuori lista”, ossia non presenti negli elenchi delle persone contattabili di Tim. Rilevate inoltre ulteriori condotte illecite: assenza di controllo da parte della società sull’operato di alcuni call center, gestione dei tempi di conservazione dei dati trattati, etc La gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da parte della società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). La sanzione si accompagna con l’imposizione di 20 misure correttive che dovranno essere applicate e documentate entro 30 giorni.
Clicca qui per approfondire
Domande e Risposte
Coronavirus: cosa deve fare il datore di lavoro per rispettare la privacy dei lavoratori
Alla luce di numerosi quesiti ricevuti da parte di soggetti pubblici e privati, recanti molteplici richieste in ordine alla possibilità di trattamento di dati sanitari dell’utenza e dei dipendenti nel corso dell'emergenza epidemiologica da Coronavirus - COVID-19, il 2 marzo scorso il Garante ha emanato un comunicato stampa per rammentare a tutti i contenuti generali dei vincoli posti dal GDPR al trattamento dei dati personali (e, in particolare, di quelli sanitari) ed il fatto che l’attuale situazione di emergenza sanitaria debba essere gestita - anche sotto il profilo della tutela della privacy - nel pieno rispetto del GDPR e delle norme nazionali vigenti, ivi compresi i decreti legge, le ordinanze di protezione civile ed il DPCM adottato il 1° marzo scorso.
Il Garante chiarisce che i datori di lavoro devono “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. In caso contrario, il trattamento illecito di dati “sensibili” comporta per il Titolare pesanti conseguenze sanzionatorie, anche di natura penale.
Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i Titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
Come indicare l'unità organizzativa di appartenenza e il ruolo organizzativo di un incaricato del Trattamento?
Nella configurazione degli Incaricati al trattamento (sezione: Dati generali), vi sono due campi che è utile completare per dare una maggiore identità ai soggetti attivi di riferimento:
Alla luce di numerosi quesiti ricevuti da parte di soggetti pubblici e privati, recanti molteplici richieste in ordine alla possibilità di trattamento di dati sanitari dell’utenza e dei dipendenti nel corso dell'emergenza epidemiologica da Coronavirus - COVID-19, il 2 marzo scorso il Garante ha emanato un comunicato stampa per rammentare a tutti i contenuti generali dei vincoli posti dal GDPR al trattamento dei dati personali (e, in particolare, di quelli sanitari) ed il fatto che l’attuale situazione di emergenza sanitaria debba essere gestita - anche sotto il profilo della tutela della privacy - nel pieno rispetto del GDPR e delle norme nazionali vigenti, ivi compresi i decreti legge, le ordinanze di protezione civile ed il DPCM adottato il 1° marzo scorso.
Il Garante chiarisce che i datori di lavoro devono “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. In caso contrario, il trattamento illecito di dati “sensibili” comporta per il Titolare pesanti conseguenze sanzionatorie, anche di natura penale.
Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i Titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
Come indicare l'unità organizzativa di appartenenza e il ruolo organizzativo di un incaricato del Trattamento?
Nella configurazione degli Incaricati al trattamento (sezione: Dati generali), vi sono due campi che è utile completare per dare una maggiore identità ai soggetti attivi di riferimento:
- Unità organizzativa
- Ruolo organizzativo
Esempio:
Queste informazioni saranno riportate nell’atto di designazione del soggetto autorizzato al trattamento (incaricato) oltre che fornire completezza al Registro dei Trattamenti.
Posso mandare comunicazioni marketing ai clienti acquisiti anche senza il loro consenso?
Sì, se si tratta di servizi analoghi a quelli già acquistati dal cliente. Il consenso sarà invece obbligatorio per i cosiddetti “prospect”, i clienti potenziali. Per i clienti acquisiti vale quanto indicato al comma 4 dell’Art.130 del codice privacy modificato dal D.Lgs 101: se il Titolare del trattamento utilizza, “a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuita”.
Chi devo nominare come Responsabile del trattamento?
Per la nomina vanno valutati tutti i soggetti a cui sono affidati trattamenti dei dati che spetterebbero al Titolare. L’Art. 28 del GDPR, definisce che chi tratta dati per conto del Titolare e presenta garanzie sufficienti per metter in atto misure tecniche e organizzative per soddisfare i requisiti del regolamento, agisce come Responsabile del trattamento. La responsabilità va sempre definita con un contratto o atto giuridico a norma del diritto dell’Unione. Ad esempio, possono essere Responsabili del Trattamento: Il Commercialista, il Consulente del Lavoro e l’RSPP esterno.
Le banche sono considerate Responsabili del Trattamento?
No, le banche sono identificabili come Titolari autonomi del Trattamento perché loro gestione segue misure di sicurezza diverse e più stringenti, in grado di garantire livelli specifici e “adeguati al rischio”.
Queste informazioni saranno riportate nell’atto di designazione del soggetto autorizzato al trattamento (incaricato) oltre che fornire completezza al Registro dei Trattamenti.
Posso mandare comunicazioni marketing ai clienti acquisiti anche senza il loro consenso?
Sì, se si tratta di servizi analoghi a quelli già acquistati dal cliente. Il consenso sarà invece obbligatorio per i cosiddetti “prospect”, i clienti potenziali. Per i clienti acquisiti vale quanto indicato al comma 4 dell’Art.130 del codice privacy modificato dal D.Lgs 101: se il Titolare del trattamento utilizza, “a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuita”.
Chi devo nominare come Responsabile del trattamento?
Per la nomina vanno valutati tutti i soggetti a cui sono affidati trattamenti dei dati che spetterebbero al Titolare. L’Art. 28 del GDPR, definisce che chi tratta dati per conto del Titolare e presenta garanzie sufficienti per metter in atto misure tecniche e organizzative per soddisfare i requisiti del regolamento, agisce come Responsabile del trattamento. La responsabilità va sempre definita con un contratto o atto giuridico a norma del diritto dell’Unione. Ad esempio, possono essere Responsabili del Trattamento: Il Commercialista, il Consulente del Lavoro e l’RSPP esterno.
Le banche sono considerate Responsabili del Trattamento?
No, le banche sono identificabili come Titolari autonomi del Trattamento perché loro gestione segue misure di sicurezza diverse e più stringenti, in grado di garantire livelli specifici e “adeguati al rischio”.
Certificazioni di qualità
Vecomp Spa Società Benefit
Verona, Via Dominutti 2
Trento, Viale del Commercio 21
Bolzano, Via Lancia 6/A
Verona, Via Dominutti 2
Trento, Viale del Commercio 21
Bolzano, Via Lancia 6/A
Sostenibilità e Rating di Legalità
Via A. Dominutti 2 - 37135 Verona
Tel: 045 8378311
P.Iva: 01336920234