Giugno 2020
Giugno 2020
Newsletter 6/2020
Pillole d'uso
Le 5 Regole per la revisione del GDPR interno
Per una gestione efficace della privacy è necessaria una verifica periodica di quanto registrato nel Software, ecco come fare.
Le informazioni e i dati registrati nel Software vanno periodicamente verificati: l’adeguamento al GDPR prevede infatti siano sempre aggiornate tutte le implicazioni in termini di privacy delle attività che si svolgono. Tutte le novità, come ad esempio un nuovo soggetto attivo (un incaricato o un Responsabile esterno del trattamento), oppure i nuovi asset o i nuovi trattamenti di dati, devono essere registrate progressivamente all’interno del software di gestione.
Almeno ogni 6 mesi e al verificarsi di nuove situazioni contingenti (esempio, un nuovo sito internet, un nuovo impianto di videosorveglianza, una nuova assunzione, etc.), vanno seguite queste 5 regole:
Per una gestione efficace della privacy è necessaria una verifica periodica di quanto registrato nel Software, ecco come fare.
Le informazioni e i dati registrati nel Software vanno periodicamente verificati: l’adeguamento al GDPR prevede infatti siano sempre aggiornate tutte le implicazioni in termini di privacy delle attività che si svolgono. Tutte le novità, come ad esempio un nuovo soggetto attivo (un incaricato o un Responsabile esterno del trattamento), oppure i nuovi asset o i nuovi trattamenti di dati, devono essere registrate progressivamente all’interno del software di gestione.
Almeno ogni 6 mesi e al verificarsi di nuove situazioni contingenti (esempio, un nuovo sito internet, un nuovo impianto di videosorveglianza, una nuova assunzione, etc.), vanno seguite queste 5 regole:
- Controllo delle attività aziendali. Sono state introdotte o cessate attività che implicano il trattamento di dati personali?
- Controllo dei soggetti autorizzati al trattamento dei dati. Sono stati incaricati o dismessi dei soggetti incaricati? Sono variati dei responsabili?
- Aggiornamento dei trattamenti. Sono presenti tutti i trattamenti eseguiti? Sono assegnati correttamente?
- Controllo degli asset. Sono stati introdotti o modificati gli asset? Sono stati dismessi dei dispositivi?
- Revisione della documentazione. Quali modifiche vanno apportate all’ultima versione?
Domande e Risposte
L’Organismo di vigilanza è qualificabile come Responsabile esterno del trattamento o come Titolare autonomo?
L’Organismo di vigilanza (Odv) è un organismo dell'ente/società previsto dall’articolo 6 del d.lgs. 231/2008. In quanto tale, non è un Titolare autonomo e neppure un Responsabile del trattamento (Crfr art. 28 del GDPR). I componenti dell’Odv devono essere designati some Soggetti autorizzati al trattamento. Su questo tema il Garante si è espresso con un parere specifico: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9347842
Trattare dati di natura particolare implica la nomina di un DPO?
No, non necessariamente.
La nomina di un Responsabile della Protezione dei Dati (DPO) è obbligatoria quando il trattamento dei dati di natura particolare di soggetti terzi è:
L’Organismo di vigilanza (Odv) è un organismo dell'ente/società previsto dall’articolo 6 del d.lgs. 231/2008. In quanto tale, non è un Titolare autonomo e neppure un Responsabile del trattamento (Crfr art. 28 del GDPR). I componenti dell’Odv devono essere designati some Soggetti autorizzati al trattamento. Su questo tema il Garante si è espresso con un parere specifico: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9347842
Trattare dati di natura particolare implica la nomina di un DPO?
No, non necessariamente.
La nomina di un Responsabile della Protezione dei Dati (DPO) è obbligatoria quando il trattamento dei dati di natura particolare di soggetti terzi è:
- effettuato da Pubbliche Amministrazioni (es. Comuni, Ospedali, Scuole ecc.);
- soggetti che hanno come core business (attività principale) il monitoraggio regolare e sistematico su larga scala delle persone;
- soggetti che hanno come core business (attività principale) il trattamento su larga scala di dati particolari (es. stato di salute, dati sindacali, biometrici ecc.) o dati giudiziari.Il GDPR non dà una definizione del concetto di “larga scala”; il Considerando n. 91 può tuttavia aiutare a delinearne i contorni, definendo trattamenti su larga scala quelli che […] “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.
Il Garante ha dedicato un'infografica sulla figura del DPO: vedi qui
Quali trattamenti esegue di solito un’azienda e/o uno studio professionale?
Per “trattamento” si intende qualunque tipo di operazione che viene svolta sui dati personali. Ad esempio, avere un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR. I trattamenti sono normalmente descritti (ad esempio ai fini della compilazione del Registro dei trattamenti) attraverso il riferimento a processi o banche dati aziendali. Ecco alcuni esempi di gestioni che rappresentano un’operazione di trattamento da parte di studi professionali e/o aziende:
Quali trattamenti esegue di solito un’azienda e/o uno studio professionale?
Per “trattamento” si intende qualunque tipo di operazione che viene svolta sui dati personali. Ad esempio, avere un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR. I trattamenti sono normalmente descritti (ad esempio ai fini della compilazione del Registro dei trattamenti) attraverso il riferimento a processi o banche dati aziendali. Ecco alcuni esempi di gestioni che rappresentano un’operazione di trattamento da parte di studi professionali e/o aziende:
- anagrafiche clienti
- anagrafiche dipendenti
- anagrafiche fornitori
- videosorveglianza
- campagne commerciali e di marketing
- gestione di un sito web
Il controllo della temperatura corporea, prevede una specifica informativa?
Sì, serve una Informativa specifica per chi accede alla struttura. Tra le misure di prevenzione del contagio da Covid-19, è prevista possa essere controllata la temperatura corporea dei soggetti che accedono alle aree lavorative. In caso di superamento del limite di 37,5°, l’azienda deve impedire l’accesso alle aree interessate e segnalare la cosa alle autorità competenti. Tale attività implica un trattamento di dati che richiede la redazione e disponibilità per gli interessati di una informativa specifica fornita prima di accedere alle aree.
Sì, serve una Informativa specifica per chi accede alla struttura. Tra le misure di prevenzione del contagio da Covid-19, è prevista possa essere controllata la temperatura corporea dei soggetti che accedono alle aree lavorative. In caso di superamento del limite di 37,5°, l’azienda deve impedire l’accesso alle aree interessate e segnalare la cosa alle autorità competenti. Tale attività implica un trattamento di dati che richiede la redazione e disponibilità per gli interessati di una informativa specifica fornita prima di accedere alle aree.
Certificazioni di qualità
Vecomp Spa Società Benefit
Verona, Via Dominutti 2
Bolzano, Via Lancia 6/A
Trento, Viale del Commercio 21
Verona, Via Dominutti 2
Bolzano, Via Lancia 6/A
Trento, Viale del Commercio 21
Sostenibilità e Rating di Legalità
Via A. Dominutti 2 - 37135 Verona
Tel: 045 8378311
P.Iva: 01336920234