itenfrdees

Promos Ricerche è un Consorzio senza fini di lucro. SCOPO: La promozione e l’introduzione dell’innovazione in qualsiasi forma e settore. Scopri di più.

News

News - Responsabilità Sociale

News - Responsabilità Sociale (230)

Privacy: Fondi Horizon per aiutare le Pmi ad allinearsi al Gdpr

Privacy: Fondi Horizon per aiutare le Pmi ad allinearsi al Gdpr

Progetti in materia di privacy, con un budget compreso tra un minimo di tre e un massimo di cinque milioni di euro. E soluzioni rivolte alla sicurezza dei semplici cittadini o delle Pmi e delle microimprese, per consentire una migliore gestione dei processi di trattamento dei dati, soprattutto alla luce dei molti interventi regolatori intervenuti negli ultimi anni.

È questo l’oggetto di un bando Horizon 2020 in scadenza ad agosto per il quale serve, però, una lunga programmazione, vista la grande complessità delle proposte da preparare: si parla, ad esempio, di software per la sicurezza disegnati secondo il modello «open source».

Gli ultimi anni hanno visto l’Unione europea impegnata in una vasta attività di normazione in tema di sicurezza dei dati e delle informazioni.  Tra le varie norme appare il caso di ricordare la direttiva 2016/1148 (la cosiddetta «Nis»), che contiene misure per un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione, la direttiva 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate, e il più noto regolamento 2016/679 (il cosiddetto «Gdpr»), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.  Quest’ultimo, nello specifico, ha imposto ai titolari del trattamento l’adozione di misure tecniche e organizzative mirate ad assicurare una maggiore sicurezza nella gestione dei dati personali dei soggetti interessati al trattamento.

Se le grandi imprese hanno, di norma, una struttura tale da poter maturare al proprio interno consapevolezza in merito ai rischi connessi al trattamento dei dati personali ed approntare le necessarie contromisure, lo stesso discorso non può essere sempre fatto in relazione alle Pmi ed alle micro imprese che - a discapito della loro struttura – si trovano spesso a trattare una mole crescente di dati riconducibili a cittadini dell’Unione europea. Questi ultimi si trovano, conseguentemente, a gestire con crescente difficoltà i processi di prestazione del consenso in relazione ai propri dati personali, non potendo sempre comprendere quali dati sono trattati dalle imprese e con quali modalità.

Tramite il bando Horizon 2020 «Topic: Digital security and privacy for citizens and Small and medium enterprises and Micro enterprises», la Commissione europea si impegna a finanziare singoli progetti - ciascuno con budget compreso tra i 3 e i 5 milioni di euro - che abbiano ad oggetto la protezione della riservatezza e della sicurezza dei dati personali dei cittadini europei, ovvero che propongano soluzioni rivolte alle Pmi e microimprese che consentano a queste una migliore gestione dei processi di trattamento.

La scadenza del bando è fissata per il 22 agosto 2019 e il budget totale destinato alla misura è di 18 milioni di euro.  Il bando è aperto a tutte le persone giuridiche, enti e associazioni che direttamente o indirettamente sono coinvolti nella gestione sicura di dati personali.

Con riferimento al primo tema, le proposte dovrebbero portare soluzioni innovative volte ad aiutare i cittadini a monitorare e controllare la sicurezza e la riservatezza del trattamento, ed essere più tutelati a livello di sicurezza informatica.

In relazione al secondo tema, le proposte dovrebbero indicare soluzioni finalizzate alla condivisione delle conoscenze e delle soluzioni in materia di sicurezza da parte delle grandi imprese nei confronti delle micro, piccole e medie imprese.

Quest’ultimo tema appare certamente molto interessante, specialmente nel mercato italiano. Tra le soluzioni che potrebbero essere proposte all’interno dei progetti vi sono quelle legate alla realizzazione di software per la sicurezza secondo il modello del software libero – che consente la partecipazione collaborativa e paritaria di tutti i soggetti coinvolti nella progettazione – e quelle basate su modelli di Open educational resources.

AdA

Scarica il bando

fonte Sole24Ore 10/19 SB e DS

Leggi tutto...
Privacy, l’arma per tutelare i dati è uno staff ben preparato

Privacy, l’arma per tutelare i dati è uno staff ben preparato

Il punto debole della tecnologia? Le persone. Anche negli studi professionali le strategie di difesa dagli attacchi informatici e dai furti di dati si basano - oltre che sulle protezioni tecnologiche - soprattutto sulla formazione del personale. Ed è proprio il training il capitolo più corposo delle linee guida per la cybersecurity negli studi legali elaborate dall’Iba (International bar association), l’ associazione che riunisce i legali di tutto il mondo.

L’obiettivo di partenza è quello di tutelare le realtà professionali medio-piccole, compresi i singoli professionisti, che non hanno né la disponibilità economica né la preparazione tecnica per dotarsi di strumenti potenti in grado di fronteggiare gli attacchi degli hacker. «Gli studi più piccoli tendono a considerarsi bersagli minori di questi attacchi - si legge nel documento - ma al contrario gli hacker hanno proprio loro nel mirino perché sanno che le loro difese sono più facili da aggirare».
Anche per questo motivo le linee guida Iba suggeriscono agli studi legali (ma di fatto il consiglio si adatta a qualsiasi altra professione) di investire piuttosto nella formazione del personale, che ha costi più contenuti e risultati duraturi nel tempo.

Diffuse già in versione cartacea durante il congresso Iba a Roma in ottobre, ora le linee guida sono disponibili sul sito in versione “personalizzabile”. Incrociando i dati relativi alla dimensione dello studio e alla tipologia di intervento si può cioè ottenere uno schema su misura con i suggerimenti di azioni da intraprendere, sempre graduate a seconda della grandezza dimensionale. Ovviamente quello che per una piccola realtà è solo auspicabile, per una media struttura (che nel modello Iba equivale a uno studio con più di 40 persone) può diventare obbligatorio.

Secondo le linee guida il training del personale deve partire dall’uso corretto delle password, comprese quelle personali. Al di là delle raccomandazioni più ovvie sulla necessità di non trascriverle su fogli accessibili, o di evitare l’uso di nomi e dati personali per costruirle, il documento fornisce anche suggerimenti meno consueti. Al personale viene raccomandato innanzitutto di distinguere le password private da quelle di lavoro evitando il riuso su più siti. Se poi si deve accedere a un sito in modo solo occasionale meglio inventare una sequenza casuale di caratteri e puntare in caso di un secondo accesso sul reset, piuttosto che sulla memorizzazione.

Da tenere sotto controllo anche tutto ciò che viene postato dai professionisti o dai dipendenti sui social media. Non tutti realizzano, ad esempio, che persino le foto dell’ufficio possono fornire agli hacker (e non solo) una miniera di informazioni sulla dislocazione fisica degli spazi. Anche per quanto riguarda l’arrivo di mail sospette, il personale andrebbe istruito in dettaglio. Non solo con l’invito a non aprire allegati o cliccare su link pericolosi: lo studio potrebbe fare un passo avanti se chiedesse allo staff di non cancellare la mail ma di segnalarla magari creando un indirizzo dedicato. Questo permetterebbe agli esperti di analizzare meglio i rischi ma anche - si legge nelle note - «di capire come hanno fatto certe mail sospette a superare le barriere di sicurezza». Per verificare il grado di preparazione del personale si potrebbe anche simulare un test con una finta mail di phishing o sospetta. A costi contenuti.

Decisamente abbordabili anche per i piccoli studi le azioni di miglioramento delle password e di introduzione di autenticazioni multilivello (considerate indispensabili sulle applicazioni più comuni quali Gmail, Yahoo, LinkedIn etc). La creazione di una policy aziendale per la cybersecurity è un processo che secondo l’Iba dovrebbe essere risparmiato solo al professionista singolo, mentre a tutti si consiglia di proteggersi attraverso una polizza assicurativa che può aiutare a coprire le spese oltre che della perdita dei dati anche legate alla violazione della privacy, al contenzioso e alla diminuzione degli incassi. Così come tutti sono invitati a identificare quali dati sensibili sono trattati dallo studio e a quale livello di protezione. Ma in questo caso l’obbligo è già scritto nero su bianco nelle leggi.

AdA

fonte Sole24Ore 6/19 VU

Scarica le linee guida IBA (International bar association)

Leggi tutto...
Penalità «231» a misura di dipendente

Penalità «231» a misura di dipendente

Responsabilità dell’ente più stringente se il reato è commesso da una figura apicale all’interno della società, che non ha adottato un adeguato modello organizzativo. La Corte di cassazione, con la sentenza 54640, respinge il ricorso di una Spa, coinvolta nel reato di tentata corruzione commesso dal responsabile di un suo centro operativo, che lavorava a stretto contatto con la Pa, elargendo delle somme a pubblici funzionari per mantenere “buoni rapporti”. Somme inserite tra le spese di rappresentanza. La Cassazione conferma la responsabilità dell’azienda, in base all’articolo 5 del Dlgs 231 del 2001, ricordando che per l’ente scatta il “coinvolgimento” per i reati commessi nel suo interesse o vantaggio da chi riveste una posizione apicale o da persone sottoposte alla vigilanza dei vertici. Con una distinzione. Nel caso di figure apicali (articolo 6) l’ente per evitare la responsabilità deve dimostrare di aver adottato e attuato dei modelli organizzativi, utili a prevenire reati come quelli commessi nello specifico, in assenza dei quali scatta la responsabilità. Inoltre l’ente deve provare di aver affidato compiti di vigilanza sull’osservanza dei modelli a un organismo dell’ente dotato di autonomi poteri. E solo la prova che il modello predisposto è stato eluso in modo fraudolento salva la società dalla condanna, agli effetti della 231.

Nel caso di reato commesso da un soggetto non in posizione apicale (articolo 7) l’ente è responsabile se il reato è reso possibile da una carente vigilanza, esclusa però dall’adozione dell’attuazione del modello organizzativo: questo basta a considerare il reato al di fuori della sfera di operatività e interferenza dell’ente.

Chiarito dunque che per allontanare la sanzione serve la prova di aver predisposto modelli efficaci, i giudici sottolineano come i rischi di condotte illecite vadano prevenuti anche in base al tipo di impresa. Nello specifico le cautele sono mancate, mentre erano più che mai opportune in una società che si rapportava con la pubblica amministrazione e dunque non era affatto estranea al rischio corruttivo.

In più le condotte “disinvolte” dell’imputato che intratteneva rapporti con pubblici ufficiali o incaricati di pubblico servizio erano note ai vertici. E l’azione disciplinare adottata nei suoi confronti non dimostra il previo esercizio di un’effettiva azione di direzione e controllo, basata su chiare regole cautelari.

AdA

fonte Sole24Ore 337/18 PM

Leggi tutto...
231
Responsabilità sociale nelle micro e piccole imprese. Nuova prassi di riferimento

Responsabilità sociale nelle micro e piccole imprese. Nuova prassi di riferimento

Dopo il documento dedicato al settore costruzioni, è stata pubblicata la nuova prassi di riferimento UNI/PdR 51:2018 “Responsabilità sociale nelle Micro e Piccole Imprese (MPI) e nelle imprese artigiane, ovvero imprese a valore artigiano - Linee guida per l’applicazione del modello di responsabilità sociale secondo UNI ISO 26000” realizzata da UNI in collaborazione con Confartigianato Lombardia.

Le MPI e le imprese artigiane possono considerarsi imprese sociali perché, grazie alle strette relazioni fra di loro e alle profonde radici nella comunità locale, costruiscono un sistema di valori comuni. Di fatto l’impresa svolge una funzione sociale, perché ciò che compie non riguarda solo sé stessa. Questo stretto contatto con il territorio costituisce un sistema aperto, non composto di “cose”, ma di uomini al suo interno.

Tra i temi fondamentali della responsabilità sociale individuati dalla norma UNI ISO 26000 la governance ricopre un ruolo centrale. Il modello di governance delle imprese a valore artigiano, grazie al legame stretto che intrattengono sia con i diversi soggetti pubblici e privati che operano nel territorio e sia con le altre imprese, con cui hanno un rapporto di concorrenza-cooperazione, è multistakeholder. Le aziende di minore dimensione riescono, infatti, a interagire in modo dialettico con gli stakeholder interni ed esterni, in risposta al continuo divenire dei bisogni e conseguentemente del variegato assetto della domanda di beni e servizi.

Il bilanciamento dei poteri e la distinzione dei ruoli rispetto ai propri stakeholder è prova del loro dinamismo. Queste imprese, inoltre, hanno una maggiore propensione a diffondere le informazioni in modo chiaro e trasparente grazie a un condizionamento reciproco con i clienti/consumatori. Infine un’altra caratteristica del modello di governance delle imprese a valore artigiano, che dimostra la loro vicinanza alle tematiche della responsabilità sociale, è il controllo sociale interno, che spesso è insito nell’approccio familiare di tali imprese, e che evita il diffondersi di un approccio opportunistico e speculativo in senso deteriore.

La prassi è il punto di arrivo del percorso iniziato da Confartigianato Imprese Lombardia con il progetto “A.RES - Artigiani RESponsabili”, realizzato nell’ambito dell’Accordo di programma Convenzione Artigianato, e che ha portato allo sviluppo di due strumenti operativi a supporto delle MPI e delle imprese artigiane: il “Cruscotto della RSI”, quale strumento di supporto alla valutazione del grado di responsabilità sociale dell’impresa e la “Carta dei Valori”, Manifesto etico dell’impresa finalizzato a comunicare i lavori dell’impresa agli stakeholder.

Con questa prassi di riferimento, Confartigianato Imprese Lombardia intende patrimonializzare quanto sviluppato con il progetto A.RES e sostenere il percorso delle imprese a valore artigiano verso una visione di Responsabilità Sociale d’Impresa più sistematica ed esplicita, pianificata e gestita con strumenti manageriali, fino a diventare strategia per lo sviluppo d’impresa.

Il documento è strutturato in modo tale da essere utilizzato in combinazione con quanto già previsto nella UNI/PdR 18:2016 “Responsabilità sociale delle organizzazioni - Indirizzi applicativi alla UNI ISO 26000”.

Scarica la UNI/PdR 51:2018

Leggi tutto...
Gdpr, valutazione di impatto per i trattamenti transfrontalieri

Gdpr, valutazione di impatto per i trattamenti transfrontalieri

D’ora in poi, pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione avranno uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati. Il Garante per la privacy ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto. L’elenco recepisce le osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere.

La valutazione di impatto è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità - può presentare un  rischio elevato per i diritti e le libertà delle persone.  Nell’elenco il Garante ha indicato, tra gli altri,  trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco, in corso di pubblicazione nella Gazzetta ufficiale, non è esaustivo ed è stato adottato applicando il “meccanismo di coerenza”, uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea.

Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che Pa e aziende hanno  l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto. Tra i criteri individuati nelle Linee guida figurano, ad esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un  contratto.

AdA

Leggi tutto...
Settimana della Cultura d’Impresa: 21 novembre 2018, presentazione del volume “Heritage Marketing. Come aprire lo scrigno e trovare un tesoro”

Settimana della Cultura d’Impresa: 21 novembre 2018, presentazione del volume “Heritage Marketing. Come aprire lo scrigno e trovare un tesoro”

Mercoledì 21 novembre 2018, ore 15.30, presso il Pontificio Istituto di Musica Sacra - Piazza Sant’Agostino, 20/a – Roma si terrà, in occasione della XVII Settimana della Cultura d’Impresa 2018, la presentazione del Volume “Heritage Marketing. Come aprire lo scrigno e trovare un tesoro”, edito da Editoriale Scientifica di Napoli.

L’evento vuole essere un’occasione di riflessione e di confronto sulle opportunità connesse alla valorizzazione dell’immane patrimonio tangibile e intangibile di cui sono custodi le imprese che hanno attraversato la storia del nostro Paese. A discuterne, insieme agli autori, saranno alcuni dei protagonisti delle esperienze di successo approfondite nel Volume: Amarelli, Ascione, Birra Peroni, Poli. Contribuiranno al dibattito il Presidente della Svimez, Adriano Giannola, il Professore di Economia e Gestione delle Imprese Francesco Izzo e il Professore di Marketing e Management Alessandro De Nisco.

AdA

Scarica l’invito

Leggi tutto...
Sicurezza urbana: pubblicata la UNI/PdR 48:2018

Sicurezza urbana: pubblicata la UNI/PdR 48:2018

È stata pubblicata, ed è entrata in vigore il 29 ottobre scorso, la nuova Prassi di Riferimento UNI/PdR 48:2018 “Sicurezza urbana - Quadro normativo, terminologia e modelli applicativi per pianificare, progettare, realizzare e gestire soluzioni di sicurezza urbana”.

Il documento, frutto della collaborazione tra UNI e FOIM – Fondazione Ordine Ingegneri Provincia di Milano, intende contribuire alla definizione e all’adozione di un linguaggio comune da parte di tutti i soggetti operanti a vario titolo nel settore della sicurezza urbana, fornire una panoramica delle prescrizioni nazionali, europee ed internazionali relative alla sicurezza urbana e proporre modelli applicativi di riferimento per pianificare, progettare, realizzare e gestire soluzioni di sicurezza urbana.

Il documento è destinato ad essere utilizzato dagli operatori del settore quali la pubblica amministrazione, le forze dell’ordine, i “security manager”, i “product manager”, gli ingegneri, i progettisti, gli urbanisti, i giuristi, gli avvocati, i consulenti, gli installatori e cittadini, quando si trovano a confrontarsi con problematiche di ‘Sicurezza Urbana’ in aree e luoghi pubblici e privati.

La UNI/PdR 48:2018 tiene conto della compresenza di tecnologia (soluzioni per controllo accessi, varchi, videosorveglianza, ecc.) e servizi (es. vigilanza privata, stazionamento forze dell’ordine), finalizzati alla prevenzione di atti criminosi e della vulnerabilità dei siti riconducibili alle loro proprietà attuali o precedenti di ordine simbolico, politico, e/o religioso.

Il documento infine si completa con la proposta di illustrazione di buone pratiche messe in atto in alcune città e da parte di alcune organizzazioni quali la messa in sicurezza della ‘Promenade des Anglais’, a Nizza in Francia; il sistema di videosorveglianza della città di Venezia; l’esempio di illuminazione intelligente e videosorveglianza della statua del Cristo Redentore a Rio de Janeiro, in Brasile, ed il caso applicativo reale di sorveglianza della rete FERROVIENORD.

AdA

Leggi tutto...
Privacy: dal Garante una nuova scheda informativa sui diritti

Privacy: dal Garante una nuova scheda informativa sui diritti

Il Garante della Privacy ha reso disponibile una scheda informativa e di sintesi sui principali diritti di cui beneficia una persona previsti dal Regolamento (UE) 2016/679.

In merito all’accesso, l’interessato ha il diritto di sapere se è in corso un trattamento di dati che lo riguardano e - se confermato - di ottenere una copia di tali dati ed essere informato su: l'origine dei dati; le categorie di dati personali trattate; i destinatari dei dati; le finalità del trattamento; l’esistenza di un processo decisionale automatizzato, compresa la profilazione; il periodo di conservazione dei dati; i diritti previsti dal Regolamento.

L’informativa, inoltre, elenca le modalità utili per esercitare i diritti elencati attraverso il facsimile di un modulo. Il titolare del trattamento una volta sollecitato dovrà rispondere entro un mese o richiedere una proroga per farlo di un massimo di due mesi. In caso di risposta non soddisfacente la persona può inviare un reclamo al Garante o all’Autorità giudiziaria ai sensi dell’art. 77 del Regolamento.

AdA

Scarica la scheda informativa e di sintesi

Leggi tutto...
Privacy, sotto tutela tutti i dati che consentono l’identificazione

Privacy, sotto tutela tutti i dati che consentono l’identificazione

Il decreto di adeguamento al regolamento Gdpr (Dlgs 101/2018) recepisce in toto la nozione di «dato personale» in continuità con la precedente legislazione Ue. Pertanto, sono da ritenersi attuali le elaborazioni concettuali e le applicazioni maturate prima del Dlgs 101/2018 e del Gdpr, con riguardo all’opinione n. 4/2007 del «Gruppo di lavoro ex art. 29».

L’articolo 4, n. 1, del Gdpr definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». L’identificazione/identificabilità dell’interessato è un requisito essenziale: non basta l’astratto collegamento del dato con una persona, ma occorre che quest’ultima sia singolarmente identificata o almeno possa esserlo; altrimenti, l’informazione rimane anonima e, quindi, estranea alle tutele del Regolamento. Malgrado l’apparente chiarezza della norma, nella pratica quotidiana ci si interroga su cosa vada realmente considerato «dato personale» in un determinato contesto.

Per consolidata impostazione, non occorre arrivare a conoscere il nome della persona, ma è sufficiente che questa venga distinta dagli altri membri di un gruppo. Ne deriva l’equipollenza, quanto alla nozione di dato personale, tra nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi – anche se detenuti da titolari diversi – ugualmente dotati di attitudine distintiva (immagini, suoni, codice identificativo, descrizione, «l’uomo vestito di nero al semaforo»). Nemmeno rileva che la persona sia individuabile da chiunque: ciò che determina l’applicazione delle tutele privacy e data protection è, invece, che essa possa essere distinta o riconosciuta con ragionevole probabilità almeno da qualcuno. Inoltre, dalla premessa che solo alcuni soggetti siano in grado di individuare l’interessato non deriva la conseguenza che una certa informazione sia «dato personale» solo rispetto a costoro, e non agli altri: questo implica che il titolare del trattamento potrebbe anche non conoscere l’identità dell’interessato, né avere modo di determinarla.

Nelle più complesse ipotesi, il collegamento tra identificativo e persona fisica non si configura in termini di certezza bensì di mera possibilità (ad esempio, l’immagine del volto di un soggetto non ancora identificato, ma che possa esserlo). Secondo l’articolo 4, n. 1, Gdpr «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente», ossia, secondo l’interpretazione del Gruppo ex art. 29, attraverso un collegamento dell’identificativo rispetto alla persona fisica di tipo immediato (nome) o mediato (codice fiscale), il quale ultimo consente l’identificazione soltanto attraverso un’operazione ulteriore (confronto con specimen, registri o elenchi).

Ai fini della nozione di identificabilità è essenziale il criterio della «ragionevole probabilità», nel senso che non ha pregio qualsiasi identificazione possibile, bensì, secondo il Considerando n. 26 Gdpr, solo quella a cui si possa pervenire tenendo conto dei mezzi che è probabile verranno utilizzati dal titolare o da un terzo.

La «ragionevole probabilità» va intesa come probabilità «qualificata», ossia con un margine di verificazione apprezzabile. Il legislatore Ue fornisce parametri di riferimento alla stregua dei quali determinare se l’utilizzo dei mezzi di identificazione appaia o no ragionevolmente probabile: per il Considerando n. 26 occorre guardare all’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili, sia degli sviluppi tecnologici. Nella valutazione del rischio, il Gruppo ex art. 29 suggerisce un approccio ex ante, integrato da verifiche periodiche, che tengano conto dello stato dell’arte e del mutamento dei contesti rilevanti: in particolare, per stabilire se le informazioni in suo possesso soggiacciono alla disciplina del Gdpr e della normativa interna, il titolare del trattamento deve valutare in ottica prognostica ogni fattore (tipologia dei dati trattati, finalità del trattamento, interessi di terzi a conoscerli ecc.) potenzialmente idoneo a incidere sulla ragionevole probabilità che altri pervengano all’identificazione dell’interessato. È il caso delle immagini della videosorveglianza, che vanno sempre considerate dati personali in quanto la finalità del trattamento è proprio quella di pervenire all’identificazione degli interessati laddove necessario; e ciò ancorché, nella pratica, non tutti i soggetti ripresi siano identificabili.

AdA

Fonte IlSole24Ore 272/18 RB

Leggi tutto...
Registro delle attività di trattamento dei dati, nuove FAQ del Garante Privacy

Registro delle attività di trattamento dei dati, nuove FAQ del Garante Privacy

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. 

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

AdA

Scarica il Registro

Leggi tutto...
Sottoscrivi questo feed RSS