PRIVACY 679/2016 ULTIMA CHIAMATA PER L’ITALIA

Privacy 679/2016 ultima chiamata per l’Italia – PRIVACY 679/2016 EU, già in vigore per gli altri Stati Europei dal 2016 ed in cui ha già trovato piena applicazione laddove l’Unione Europea, per l’Italia, a causa delle problematiche legate ad una crisi persistente di cui la stessa Europa si è fatta carico riconoscendone la dimensione, ha concesso come ultimo termine la data 25 Maggio 2018, creando non pochi problemi alle aziende ed alle associazioni che non ne avevano considerato l’importanza o l’avevano da sempre sottovalutata o snobbata

Privacy 679/2016 ultima chiamata per l'Italia - Blog I.T. - IT Blog

Privacy 679/2016 ultima chiamata per l’Italia, dove la SHADOIT CONSULTANCY GROUP ha realizzato un servizio atto ad realizzare ed analizzare tutte le procedure di messa a norma per ottemperare al GDPR 679/2016 EU, forte dell’esperienza già maturata in italia per l’ex Decreto Legislativo 196/2003 grazie all’esperienza dei suoi consulenti tecnici provenienti, alcuni, da questo Stato, già preparata ed a conoscenza delle nuove stringenti regole inerenti il trattamento dei dati personali e l’importanza della sicurezza dei dati trattati in digitale, avendo già adottato e stretto le maglie per la salvaguardia degli ambienti operativi esposti ad internet ed a visite di personale aziendale esterno che in nessun caso deve poter osservare visivamente i dati presenti nei sistemi aziendali se non autorizzato.

LA PRIVACY – COSA CAMBIA

In ottemperanza alla Privacy 679/2016 EU, solo il 27% delle Aziende Italiane conosce i nuovi obblighi di legge e molte li hanno sempre considerati superficialmente… dobbiamo sperare non siate tra questi?

Dal 25 maggio 2018, senza periodi intermedi, sarà pienamente operativo il nuovo regolamento europeo sulla privacy GDPR 679/2016 EU.

Le spallucce non sono contemplate in risposta a questa importante notizia e sapete perché?

Perché anche voi dovrete tenere in considerazione la nuova regolamentazione europea inerente i dati personali dei vostri clienti.

L’anno 2016, considerato dagli esperti l’anno più disastroso dal punto di vista della Sicurezza Digitale, ha indotto le autorità competenti a decidere che bisognava intervenire sulla vigente normativa al fine da contenere in qualsiasi modo tutti i rischi provenienti dal mondo del digitale.

Pare che, su una media di 100 aziende, solo 5 possano affermare di avere un sufficiente livello di sicurezza garantendo così coloro che gli hanno affidato i propri dati.

Il 25 Maggio entrerà in vigore il Regolamento Europeo sulla Protezione dei Dati, laddove molte norme rimangono invariate altre vengono rielaborate e alcune sono state introdotte ex novo.

Il GDPR (General Data Protection Regulation) avrà un notevole impatto non solo dal punto di vista tecnologico, ma anche, e soprattutto, dal punto di vista organizzativo e legale.

 

CONCETTO DI PRIVACY BY DESIGN

Secondo quando affermato da questo principio, in tema di privacy 679/2016, occorre prevenire non correggere, per cui tutte le cautele vanno adottate già in fase di progettazione e non apposte in un secondo momento al verificarsi della mancata tutela; tale considerazione è parte integrante di un concetto ideato nel 2010 e già presente in Canada e negli Stati Uniti di America anche se spesso disattesa da alcune lobbies (vedasi caso Facebook ed altri).

 

CONCETTO DI PRIVACY BY DEAFULT

Secondo quanto affermato da questo concetto è necessario che tutte le aziende abbiano delle impostazioni predefinite in grado di trattare i dati dei loro clienti solo nella misura sufficiente alle finalità prefissate e rigorosamente nei tempi strettamente necessari al raggiungimento dello scopo le cui impostazioni e tempi siano rigorosamente predefiniti e compresi già in fase di progettazione.

 

LA VALUTAZIONE DEL RISCHIO

Secondo il GDPR 679/2016 EU, bisogna avere un atteggiamento basato sulla valutazione del pericolo derivante dal trattamento, avere piena coscienza di tutti quelli che sono i trattamenti suscettibili di cagionare un danno fisico materiale o immateriale portando avanti una analisi preventiva ed una attenta valutazione.

 

LA DPIA (data protection impact assessment)

Si tratta di una procedura in grado di misurare e confermare la idoneità del trattamento con le norme in materia di protezione dei dati personali (Privacy 679/2016 EU).

In realtà bisogna applicarla anche laddove non obbligatoria in quanto si tratta di un metodo estremamente utile per monitorare l’attività in essere.

La sua obbligatorietà è determinata da almeno due dei criteri stabiliti dal regolamento come, ad esempio, nel caso della videosorveglianza e nel caso del trattamento dei dati sensibili.

 

IL REGISTRO DEI TRATTAMENTI

Tale registro è necessario e riportante i trattamenti effettuati e le procedure di sicurezza adottate non essendo una mera formalità bensì una parte integrante del sistema di corretta gestione dei dati personali.

Per questo al di là della dimensione dell’azienda può essere sempre consigliato dotarsi di tale registro spesso conservato per comoditù sotto forma di foglio di calcolo.

 

ADOZIONE DI MISURE DI SICUREZZA

Occorre che tutte le strutture adottino dei comportamenti volti a dimostrare concretamente la adozione di misure rivolte ad assicurare la corretta applicazione del regolamento affidando direttamente ai titolari il compito di decidere in maniera autonoma le modalità, le garanzie e i limiti del trattamento dei loro dati secondo il GDPR 679/2016 EU, come anche da noi riportato nelle nostre Legal Info

 

LA NOTIFICA DELLE VIOLAZIONI DI DATI

Comunemente definita come Data Breach, la notifica avviene ogniqualvolta ci sia una violazione nella procedura di sicurezza che comporta l’accidentale o illecita perdita, modifica, divulgazione o accesso dei dati personali.

Il GDPR 679/2016 EU, stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore e purtroppo ad oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda o l’associazione ne viene a conoscenza.

La violazione deve essere tale da manifestare un elevato rischio per i diritti e la libertà delle persone (inteso giuridicamente in senso fisico) per il rispetto della Privacy 679/2016 EU.

 

LE INFORMATIVE

Nel rispetto della Privacy 679/2016 EU tutte le informative dovranno contenere dei nuovi riferimenti e tra le varie modifiche emerge l’introduzione del periodo di conservazione dei dati e dei criteri stabiliti per definirlo.

Trascorso il periodo indicato il dato deve essere cancellato (introduzione del Diritto all’oblio).

In ottemperanza al diritto alla Privacy 679/2016 EU, il tempo di conservazione di un dato è tipicamente legato alle finalità del trattamento e il diritto all’oblio si configura come l’obbligo in capo ai titolari del trattamento non solo di procedere alla cancellazione del dato ma altresì di informare della richiesta di cancellazione gli altri titolari che trattano i dati compresi link o riproduzioni.

 

DPO – Data Protection Officer

Non tutte le imprese e/o associazioni sono dotate di sistema di videosorveglianza, non tutte le imprese e/o associazioni procedono ad una targetizzazione dei clienti e non tutti svolgono attività di direct marketing ma….tutti trattano i dati personali.

Affrontiamo la questione in maniera generica e secondo quanto traspare dal sito web del Garante, pensando che tra le varie modifiche introdotte a spiccare è il fatto che la nuova normativa sulla Privacy 679/2016 EU responsabilizza fortemente le imprese e/o associazioni dinnanzi alla concreta e corretta applicazione delle norme sancite.

Non dobbiamo temere,  si tratta di oneri che riguardano tanti, tanti, tanti altri manager ed ogni impresa e/o associazione, dovrà pertanto avvalersi di un professionista, un consulente, in grado di verificare e indirizzare la struttura in tutti questi adeguamenti legislativi.

Questa nuova figura è il così detto DPO, il Data Protection Officer o il Responsabile per il Trattamento Dati che può essere rappresentato anche dall’Amministratore di Sistema purché soggetto terzo e cioè professionista o rappresentante di altra azienda esperta in sistemi informatici per evitare ingerenze e/o pressioni non desiderate dal rispetto alla Privacy 679/2016 EU.

Il DPO è un professionista già noto in alcuni paesi europei e si tratta di un esperto in ambito informatico, organizzativo e in materia di risk management, essendo garante dell’osservazione, valutazione e gestione del trattamento, conservazione e protezione dei dati personali affinché ciò avvenga in ottemperanza alla normativa nazionale ed europea.

Il Data Protection Officer, deve avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore informatico.

 

LE SANZIONI

Parliamo del severo regime sanzionatorio che interverrà a riguardo:

sono previste sanzioni amministrative molto più aspre rispetto al passato.

Le ammende potranno raggiungere addirittura i 20.000.000 € (milioni di Euro).

I provvedimenti amministrativi entrano in gioco anche nel momento in cui non si ottempera al concetto di Privacy by Design.

NON Sottovalutatelo, ne va della vostra azienda.

privacy - data storage email su server privato - consulenza aziendale - statistiche web - cloud object storage service - backup remoto - mx backup email - assistenza tecnica e sistemistica - decreto privacy europea - pubblicità internet - recupero dati da supporti

Privacy 679/2016 ultima chiamata per l'Italia - Blog I.T. - IT Blog

Amministratore di Sistema

Amministratore di Sistema è una figura spesso messa in discussione dai manager aziendali quando proprio l’interloquire con questo personaggio e lo stretto legame con i sistemisti junior e senior può comportare molto spesso la soluzione migliore per rendere sicuri i propri dati digitali aziendali.

Amministratore di Sistema - DPO - GDPR (2016/679 EU)

Con la nuova regolamentazione che l’Unione Europea ha messo in campo a protezione dei dati personali di individui, professionisti ed aziende, l’Amministratore di Sistema è divenuto il fulcro su cui gira quasi tutta la configurazione della privacy e del GDPR (2016/679 EU), in quanto egli può sopperire anche alla figura del Data Protection Officer (DPO) ed operare in sintonia con i programmatori, i sistemisti ed i centri che assistono l’informatica aziendale (assistenza tecnica), prendendo in prima persona le decisioni spesso più difficili alle quali tecnicamente nessuno può obiettare.

L’Amministratore di Sistema o, tecnico sistemista di rete che a dir si voglia, è una figura professionale che integra e completa le competenze di un tecnico hardware e software, in quanto deve avere obbligatoriamente tutte quelle sfaccettature e qualità tecniche da poter esser di guida al personale di assistenza e sviluppo che a Lui dovrà rispondere in prima persona per le responsabilità che si assume dinanzi alla proprietà o al professionista.

L’Amministratore di Sistema deve avere qualità manageriali e competenze nel settore delle reti e soprattutto di sicurezza informatica, della gestione dei flussi dati e profonda conoscenza dei sistemi operativi con i quali dovrà interfacciarsi, ma deve anche saper interloquire con il personale aziendale, senza perdere mai di vista il rapporto umano che deve sempre essere messo al primo posto per la riuscita dei compiti a lui affidati.

Questa figura si dovrà occupare di ogni tipo di rete informatica mettendo al primo posto la conservazione dei dati con soluzioni di backup sia locale che in differita (remoto), avvalendosi dei sistemi di MX Backup Email per la posta elettronica e Backup Remoto progettando attività di disaster recovery, atte al recupero delle situazioni più complesse in tempi certi e rapidi.

Molte volte abbiamo sentito parlare di dati personali rubati a banche, motori di ricerca ed a social network, pensando che i sistemisti avessero fallito il loro compito ma dobbiamo sempre ricordare che per quanti lucchetti l’amministratore di sistema possa mettere, i cracker, spesso abilissimi sistemisti programmatori riescono a farsi strada e a toglierli più o meno agevolmente nello stesso modo, ecco il motivo per cui è necessario il documentare tutto, aggiornare l’eventuale DPS (Documento Programmatico di Sicurezza) ed usufruire del backup remoto , il wannacry (ransomware) dovrebbe averci insegnato qualcosa.

La sicurezza informatica dei nostri dati non si esaurisce installando semplici antivirus, firewall, implementando regole di networking e policy ma, la si garantisce PROFESSIONALMENTE, solamente con un’accurata analisi e monitoraggio quotidiano/settimanale dei LOG, ora più che mai necessario a seguito delle pesanti sanzioni poste in essere verso i manager o professionisti titolari delle proprie attività.

Il settore della sicurezza informatica così come la buona custodia dei dati, rendono l’Amministratore di Sistema uno specialista di cui non si può fare a meno, a garanzia della completa adozione  del GDPR (2016/679 EU).

I nostri consulenti sono a vostra completa disposizione, se siete seriamente interessati non pensateci e contattateci.

privacy - data storage email su server privato - consulenza aziendale - statistiche web - cloud object storage service - backup remoto - mx backup email - assistenza tecnica e sistemistica - decreto privacy europea - pubblicità internet - recupero dati da supporti

GDPR 2016/679 EU

GDPR 2016/679 EU – General Data Protection Regulation applicabile in tutti gli Stati membri, nasce per regolamentare la privacy europea in quanto i cittadini e le aziende sentono in pericolo la loro identità, i loro progetti e le loro scelte e nel tempo hanno coinvolto i propri Stati fino a raggiungere il Parlamento Europeo ed ottenere una legge che li tutelasse nei propri diritti.

GDPR - 2016/679/EU - 2016/679 EU

La SHADOIT CONSULTANCY GROUP ha da sempre ritenuto importante il criterio di privacy e si è adoperata molto velocemente nel mettere in piedi un servizio per le aziende che fosse utile al manager o al professionista per ottemperare all’obbligo di legge, ma prima bisogna che si comprenda in profondità ciò che è importante conoscere per rischi, sanzioni e modalità di trattamento ai quali bisognerà ottemperare (testo di legge europea in originale).

Iniziamo subito con il dire che non sono stati regolamentati solo i dati trattati con la forma digitale ma anche i dati di tipo cartaceo che, a prescindere dal corretto grado di conservazione per posto di archiviazione, devono essere trattati in forma anonima per chi ci osserva preservandoli dalla vista di colui che può trovarsi al di là della vostra scrivania.

L’accortezza da utilizzare per i documenti cartacei, tratta per lo più l’utilizzo di semplici cartelline recanti esclusivamente un codice alfa numerico che ne identifichi la persona o l’azienda coinvolta.

I tipi di dati che il GDPR ( 2016/679 EU) indica come rilevanti per la protezione e loro salvaguardia sono:

  • Dati di localizzazione
  • Dati anagrafici
  • Dati sensibili
  • Dati sanitari
  • Dati contenuti negli smartphone
  • Dati bancari
  • Dati contabili (dati di fatturazione etc)
  • Dati personali (religione…opinione…etc)

A prescindere dalla denuncia penale alla quale si rischia di andare incontro, c’è da tenere presente che la mancata ottemperanza alla normativa europea in parte o nel suo complesso, comporterà delle sanzioni pesanti e delle responsabilità civili e penali, oltre che l’imposizione immediata all’adempimento medesimo da parte delle forze dell’ordine preposte, nonché verifica amministrativa ed una sanzione che parte da un minimo di 3000 Euro fino ad arrivare a sanzioni più pesanti come un quarto dell’imponibile presente nel bilancio depositato, fino ad un massimo di 20.000.000 di Euro per i casi più gravi.

Nel testo legislativo, spesso si fa riferimento al DPO (Data Protection Officer) che può essere nominato dal manager dell’azienda, senza però sgravarlo dalle sue responsabilità penali e civili.

Il DPO è un supervisore indipendente che dovrà supportare il titolare ed il responsabile informatico aziendale nel garantire ed organizzare la protezione dei dati in conformità al GDPR ( 2016/679 EU), rappresentando per similitudine, un Organismo di Vigilanza.

Il DPO sarà il referente di contatto con l’Autorità Garante per la protezione dei dati personali e non può essere rappresentato dal manager o professionista ma ad egli non potranno essere certamente ascritte responsabilità risarcitorie che rimangono sempre del manager, amministratore, director o professionista.

Il motivo per il quale il DPO deve essere persona esterna all’organico aziendale, è dovuto al fatto che essendo figura indipendente, non potrà subire ingerenze da parte del titolare e non subirà l’assenza di un conflitto di interesse.

DPO - GDPR - 2016/679 EU

Il DPO dovrà sempre iteragire con l’Amministratore di Sistema che è colui che opera direttamente sui sistemi aziendali o del professionista e potranno essere rappresentati da un’unica entità fisica, assicurandosi che vengano sempre improntate tutte le misure minime di sicurezza a partire dai backup, verifica e controllo dei log, le politiche di protezione (firewall, antivirus, antimaleware, antiransomware etc) vengano scrupolosamente rispettate ed esista la conservazione dei prima menzionati log di sistema a comprova dell’efficienza dei sistemi stessi e soprattutto, dovrà essere redatta opportuna documentazione che certifichi ciò che è stato fatto e non di meno dovrà effettuare eventuali comunicazioni di non conformità indirizzandole alla direzione aziendale o al professionista affinché vengano evase in tempi rapidissimi e sempre seguite da risposta scritta che certifichino i tempi stessi nel rispetto del GDPR 2016/679 EU.

Con il GDPR ( 2016/679 EU) vengono introdotte regole più chiare su informativa e consenso:

  • Definizione dei limiti al trattamento automatizzato dei dati personali
  • Basi per l’esercizio di nuovi diritti
  • Criteri per il trasferimento degli stessi al di fuori dell’Unione Europea
  • Fissate norme rigorose per i casi di violazione dei dati (data breach)

La normativa si applica a tutte le imprese situate anche al di fuori del mercato Europeo ed interessa sia le imprese/professionisti che trattano servizi, sia quelle che trattano prodotti.

In caso di Data Breach, il titolare, seguendo la normativa del GDPR 2016/679 EU, è tenuto ad informare in modo chiaro ed immediato, tutti gli interessati ed offrire indicazioni su come limitare i danni; potrà decidere comunque sia, di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di aver adottato misure di sicurezza adeguate, oppure potrà non darne informazione qualora lo sforzo fosse sproporzionato al rischio, fermo restando che in caso di mancata informazione, se ne assumerà tutte le responsabilità civili e penali.

I nostri consulenti sono a vostra completa disposizione, se siete seriamente interessati non pensateci e contattateci.

privacy - data storage email su server privato - consulenza aziendale - statistiche web - cloud object storage service - backup remoto - mx backup email - assistenza tecnica e sistemistica - decreto privacy europea - pubblicità internet - recupero dati da supporti

Decreto privacy europea

Decreto Privacy Europea (ex Dlgs 196/2003 Legislazione Italiana), perchè è così importante per un professionista  e per un’azienda

Il DECRETO PRIVACY EUROPEA ex Dlgs 196/2003 (per chi è di nazionalità italiana) ora Rel 2016/679/EU, anche detto Legge sulla Privacy, indica le misure minimeDecreto Privacy Europea DLSG 196/2003 - data storage email su server privato - consulenza aziendale - statistiche web - cloud object storage service - backup remoto - mx backup email - assistenza tecnica e sistemistica - decreto privacy europea - pubblicità internet - recupero dati da supporti da adottare da parte di tutti coloro che detengono dati anagrafici, dati inerenti il trattamento contabile, dati medici, dati civili e/o penali, insomma qualsivoglia elemento riconducibile alla persona, ente o segreto industriale trattato a livello meccanizzato (informatico) e non meccanizzato.

La SHADOIT CONSULTANCY GROUP, ha preso in esame seriamente il problema della sicurezza e della privacy dei propri clienti, soprattutto per le attività di riservatezza che deve rispettare  per garantirgli la tranquillità che cercano e meritano, a tutela delle imprese e dei managers.

L’allegato “B” del decreto prevedeva che tutte le ditte di qualsivoglia natura, comprese quelle individuali, dovevano dotarsi di un documento che contenesse le “misure minime in materia di sicurezza” denominato D.P.S. (DOCUMENTO PROGRAMMATICO SULLA SICUREZZA).

Il DPS. era obbligatorio (Art. 34 del Testo Unico – Atto legislativo italiano) solo per quelle organizzazioni che trattano dati personali (anche non sensibili) con l’impiego di elaboratori elettronici.

Chi trattava i dati solo manualmente su supporto cartaceo, non era tenuto ad avere il documento programmatico della sicurezza.

Era esplicitamente richiesto dal comma 19.6 dell’Allegato B del D.Lgs. 196/2003 per tutte le organizzazioni che trattavano dati sensibili con l’ausilio di elaboratori elettronici.

Secondo logica deduzione e secondo gli analisti della SHADOIT CONSULTANCY GROUP, la crescita del fenomeno rete/rischio porta con sé due fattori apparentemente contraddittori: con lo sviluppo della rete aumenta la sofisticazione necessaria per mettersi al riparo da eventi spiacevoli, ma l’ampliamento del mercato rende meno costose le soluzioni di base e a larga diffusione.

Oggi è molto meno dispendioso attuare un’efficiente politica di protezione informatica: dunque, perché correre rischi?

La SHADOIT CONSULTANCY GROUP, vi invita sempre a tenere ben presente, inoltre, che qualunque fosse la spesa da sostenere, vi costerebbe sempre meno di un danno causato da un’improvvisa perdita o alterazione dati, di una intromissione indesiderata, di un furto di notizie, di una mancanza di servizio al vostro cliente, perché quando il danno è fatto, diventa difficile correre ai ripari.

Il Decreto 196/2003, con l’entrata in vigore del Decreto Privacy Europea, ha di fatto abrogato il Documento Programmatico sulla Sicurezza (DPS, art. 34 del Codice sulla Privacy Italiano), che non dovrà quindi essere aggiornato entro il 31 marzo di ogni anno ed il suo mantenimento e relazione restano facoltativi ma consigliabili, in quanto le richieste del Garante alla Privacy rimangono inalterate anche seguendo gli standard europei che tra l’altro, sono meno permissivi.

Il DPS, ricordiamo, è un manuale dove viene pianificata la sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. e sempre secondo il Decreto Privacy Europea, dovrebbero essere riportati in una pagina a parte anche per chi esercita attività di business online, quindi via internet.

Il Garante alla privacy italiana ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.

E’ stato inoltre eliminato il dettato della regola 19 dell’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza del Codice in materia di protezione dei dati personali, concernente il contenuto del DPS e la regola 26 dello stesso, che prevede l’obbligo di riferire, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Occorre tuttavia osservare che quanto per l’ex Decreto 196/2003 (Italian Law) che per il nuovo Decreto Privacy Europea, le misure minime di sicurezza la cui efficace realizzazione era sottesa alla redazione del DPS sono rimaste invece inalterate, e in particolare nel settore dei trattamenti informatici.

VAI   ALL’ OFFERTA   COMMERCIALE

Molte parti che facevano già parte del decreto privacy italiano, sono state riprese ed estese anche nel Decreto Privacy Europea, quali:

a) l’autenticazione informatica;
b) l’adozione di procedure di gestione delle credenziali di autenticazione;
c) l’utilizzazione di un sistema di autorizzazione;
d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Inalterate sono anche le misure minime nel campo dei trattamenti cartacei:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Il parere degli esperti in sicurezza e degli analisti informatici e legali della SHADOIT CONSULTANCY GROUP, per impedire eventuali problemi alle aziende ed ai managers, sia di natura tecnica che di natura legale, e continuare a tutelare l’interesse alla privacy dei propri clienti, è:

E’ PREFERIBILE CHE LE AZIENDE CONTINUINO A TENERE UN DOCUMENTO SCRITTO (D.P.S.) CHE CONTENGA LE MISURE DI SICUREZZA ADOTTATE IN AZIENDA, LA LORO EVOLUZIONE NEL TEMPO, E GLI EVENTUALI EPISODI DI CONTESTAZIONE DI PRESUNTE VIOLAZIONI NECESSARIAMENTE DETTATO DALL’EVENTO DI CONTROLLI OPERATI DALLE FORZE DELL’ORDINE CHE AGEVOLERANNO IL TITOLARE RESPONSABILE DELLA PRIVACY AZIENDALE E QUINDI L’AZIENDA STESSA.
CIO’ ANCHE PER CONTINUARE A TENERE SOTTO CONTROLLO IL RISPETTO DELLE MISURE DI TUTELA DELLA PRIVACY PREVISTE DAL CODICE PENALE, CHE SONO TUTTE RIMASTE IN VIGORE.
LO SCOPO DEL D.P.S., INFATTI, E’ PROPRIO QUELLO DI DESCRIVERE LA SITUAZIONE RELATIVA ALLE MISURE ADOTTATE CON RIFERIMENTO AI PUNTI STABILITI DAL GARANTE IN OTTEMPERANZA AL DECRETO PRIVACY EUROPEA.

La SHADOIT CONSULTANCY GROUP, ha accuratamente analizzato il nuovo Decreto Privacy Europea individuando che le categorie dei soggetti interessati a tale normativa sono molteplici, quali: commercialisti, consulenti del lavoro, avvocati, notai, medici, ditte di recupero crediti, assicurazioni, enti o associazioni a carattere politico, filosofico, religioso o sindacale, ditte che eseguono indagini di mercato, aziende di selezione del personale, datori di lavoro che conservano dati relativi allo stato di salute dei dipendenti, ecc.

Tutte le aziende trattano dati personali e sicuramente la Vostra azienda tratta i dati (in elettronico o su carta) dei clienti e dei fornitori o ha un database dei dipendenti che oltre ai dati personali dei vostri dipendenti contiene, direttamente o indirettamente, anche i loro dati “sensibili” (per esempio le assenze per malattia).

E’ necessario, come richiesto dal Decreto Privacy Europea, ai fini di proteggere il diritto alla privacy degli interessati a cui i dati personali si riferiscono, rendere sicuri questi database.

QUALI SONO I DATI PERSONALI
A titolo esemplificativo:
– il nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, la partita I.V.A., dati contabili, dati bancari…
– informazioni circa la composizione del nucleo familiare, la professione esercitata da un determinato soggetto, sia fisico che giuridico, la sua formazione…
– fotografie, radiografie, video, registrazioni, impronte…
– informazioni relative al profilo creditizio, alla retribuzione…
– informazioni relative alla salute di un soggetto, alla vita sessuale, alla partecipazione ad associazioni di categoria, a partiti, trattenute sindacali, cartelle cliniche, rilevazioni di presenze… etc..

La normativa prevedeva l’obbligo di redazione del Documento Programmatico sulla Sicurezza. La legge PRIVACY EUROPEA ex art. 196/2003 (Italian Law), prevede nuovi adempimenti in merito alla protezione dei dati personali.

Spesso la domanda ricorrente che la SHADOIT CONSULTANCY GROUP si è trovata ad affrontare e che viene posta ai nostri tecnici esperti in sicurezza ed ai nostri legali è il perché c’è  la necessità di proteggere la propria attività se per vent’anni non c’e’ stato mai un problema.
Le risposte che la SHADOIT CONSULTANCY GROUP per voce dei suoi specialisti, dà a chi è titubante, specialmente pensando all’eventuale spesa, peraltro esigua, alla quale il piccolo professionista stà pensando é rivolta al suo sistema informatico, al fatto che abbia la convinzione che un’ottimo antivirus possa risolvergli tutti i problemi e spesso ci troviamo nella situazione di essere più esaustivi dicendogli:
Spiacenti, ma anche il miglior prodotto del mondo nulla può, da solo, contro la ferocia distruttiva dei cyber-criminali o, più semplicemente, un possibile black out hardware.
Professionisti ed aziende di ogni dimensione usufruiscono regolarmente di un collegamento Internet. Queste nuove tecnologie permettono connessioni sempre più veloci e meno costose, quindi, il problema che ne deriva è che sempre più computers sono collegati alla rete in modo permanente, finendo così per diventare potenziali obiettivi di qualche pirata informatico.

normativa dati personali - data storage email su server privato - consulenza aziendale - statistiche web - cloud object storage service - backup remoto - mx backup email - assistenza tecnica e sistemistica - decreto privacy europea - pubblicità internet - recupero dati da supporti

La SHADOIT CONSULTANCY GROUP ha rilevato che l’UE ha scelto di riformare la normativa sul trattamento dei dati personali principalmente a causa dell’incredibile evoluzione tecnologica degli ultimi 15 anni ed anche a causa delle difficoltà di regolamentazione relative ai rapporti tra privati cittadini e aziende europee ed aziende extra-europee.
I principali obiettivi del regolamento definito dalla Commissione Europea sono:
rendere più attuali i principi contenuti nella direttiva del 1995 ed introdurre un testo normativo unico direttamente applicabile in tutti i 28 paesi dell’Unione Europea;
definire i diritti delle persone fisiche in modo chiaro e stabilire inoltre gli obblighi di tutti quei soggetti che trattano o sono responsabili del trattamento dei dati;
stabilire le metodologie per garantire il rispetto delle norme oltre alle sanzioni previste per coloro i quali violano queste norme.
In data 18 dicembre 2015 è arrivata l’approvazione del testo di compromesso definitivo del regolamento da parte del CoRePer (Comitato dei Rappresentanti Permanenti).

Grazie al nuovo regolamento vengono rafforzati i diritti delle persone fisiche europee che avranno maggiore controllo sui propri dati grazie a:
necessità di “chiaro consenso” dell’interessato per poter trattare i suoi dati;
accesso semplificato da parte dell’interessato ai propri dati personali;
diritto di rettifica, cancellazione e “oblio”;
diritto di obiezione (anche riguardo l’utilizzo dei dati personali ai fini di profilazione)
diritto di portabilità dei propri dati personali da un fornitore di servizi ad un altro.

Nel testo del Decreto Privacy Europea, i legali della SHADOIT CONSULTANCY GROUP, hanno rilevato che nel nuovo regolamento sono specificati gli obblighi generali dei titolari del trattamento dei dati personali e di quelle figure che trattano i dati per conto di un’azienda (definiti come “incaricati al trattamento”).
I più rilevanti obblighi in questo senso sono:
obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati;
obbligo di comunicazione delle violazioni dei dati personali (“data breach notification”);
obbligo di nomina di un Data Privacy Officer in caso vengano svolte attività di trattamento dei dati rischiose.

Secondo quanto enunciato nel Decreto Privacy Europea, la SHADOIT CONSULTANCY GROUP ha notato che il regolamento conferma l’obbligo, già in essere per gli stati membri, di istituire un’autorità di controllo indipendente. Inoltre l’obiettivo è quello di istituire meccanismi appositi per garantire la coerenza nell’applicazione della normativa in tutti i paesi dell’Unione Europea. In particolare nelle dispute transfrontaliere, una società con controllate in diversi stati dovrà interagire solamente con l’autorità preposta nello stato membro in cui è presente lo stabilimento principale.

È prevista l’istituzione di un Comitato Europeo per la Protezione dei Dati che includerà i rappresentati di tutti gli stati membri.

È riconosciuto il diritto di presentare reclamo all’autorità di controllo, il diritto ad un ricorso giurisdizionale ed al risarcimento e responsabilità. Inoltre è previsto il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni prese dalle autorità preposte alla protezione dei dati.

Per quanto riguarda le sanzioni, sono previste multe fino a 20 milioni di €uro o fino al 4% del fatturato per i responsabili o gli incaricati del trattamento che violano le norme.

Il regolamento prevede la possibilità di trasferimento di dati personali a paesi terzi ed organizzazioni internazionali previa valutazione del livello di protezione offerto dal territorio o dal settore di trattamento del paese terzo eseguita dalla Commissione.

In caso di non adeguatezza, il trasferimento può avvenire ma solamente in casi particolari oppure se esistono adeguate garanzie (clausole di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali).

Uno degli obiettivi della riforma è la semplificazione.
Per chi è italiano, l’obbligo di notifica al Garante non sarà più obbligatorio per chi effettua particolari tipologie di trattamento (geolocalizzazione, ricerca genetica, profilazione, analisi della solidità finanziaria, ecc.), viene considerato troppo oneroso dal punto di vista amministrativo/finanziario e quindi viene sostituito da nuovi meccanismi che vanno a concentrarsi solamente sulle operazioni di trattamento che presentano potenziali rischi per i diritti e la libertà degli interessati.

Con l’introduzione del nuovo regolamento europeo diventa necessario andare a valutare il grado di impatto che il singolo trattamento può avere sulla privacy degli utenti.

La SHADOIT CONSULTANCY GROUP analizzando il testo del Decreto Privacy Europea, ha visto messa ben in evidenza la figura del Data Privacy Officer (o Responsabile della Protezione dei Dati Personali), obbligatoria nei casi in cui il responsabile del trattamento dei dati è un soggetto pubblico, il volume di dati trattati è rilevante oppure i dati trattati sono di tipo giudiziario o comunque sensibile.
Il Data Privacy Officer deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa, può rivestire il ruolo di Amministratore di Sistema ed è figura di referimento del Garante per la privacy.
Può essere un consulente esterno all’azienda e può essere contattato dall’autorità in caso di volontà di acquisire informazioni.
I compiti fondamentali del Data Privacy Officer sono:
conoscere e informare il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo;
verificare l’applicazione del regolamento europeo;
garantire la conservazione della documentazione relativa ai trattamenti eseguiti;
controllare che le violazioni dei dati personali siano documentate e notificate;
controllare che venga effettuata la valutazione d’impatto sulla protezione dei dati e che venga richiesta l’autorizzazione o la consultazione preventiva nei casi previsti;
porsi come intermediario tra l’azienda e il Garante per la Privacy;
controllare l’esecuzione delle richieste del Garante per la Privacy.
Questo evince l’importanza di questa figura e le responsabilità dirette ed indirette che gravano sul suo operato.

Nuove forme di privacy
Il regolamento europeo in materia di trattamento e protezione dei dati personali introduce due principi fondativi:
Privacy by design: la tutela dei dati personali deve essere pensata sin dalle prime fasi in cui si progetta la raccolta delle informazioni. Diventa quindi necessario analizzare i flussi di dati e adottare criteri per la minimizzazione dei rischi del trattamento e, ove possibile, riducano la mole di dati trattati.
Privacy by default: viene introdotto l’obbligo di “prevenire la raccolta di dati non necessari per le finalità perseguite”.

La SHADOIT CONSULTANCY GROUP, nel caso desideriate mantenere e/o ottenere un Documento Programmatico di Sicurezza per agevolarvi in eventuali contestazioni e/o controlli dagli organi preposti, vi invierà tramite e-mail, il contratto, un questionario da compilare attentamente e tutta la documentazione necessaria per adeguare la propria azienda (lettere facsimile da compilare secondo regolamentazione europea).
Il questionario ci dovrà essere rispedito immediatamente  via e-mail (a cui farà seguito la telefonata di un nostro responsabile), in modo che possa essere redatto il D.P.S. e fornite tutte le specifiche per adeguare la vostra attività.

 

OFFERTA COMMERCIALE

Il pacchetto Decreto privacy europea è stato studiato ed elaborato dai nostri tecnici in virtù della regolamentazione in vigore negli Stati europei ed è fondamentale per il manager evitare sanzioni ben più costose dello studio e redazione della piramide documentale ricordandosi che tutte le pagine verranno firmate dall’amministratore della SHADOIT CONSULTANCY GROUP che sarà responsabile di quanto scritto nella documentazione fornita.

Servizio redazione Privacy Europea                                   € 800,00 (annuale) da corrispondere anticipatamente alla richiesta dell’attivazione del servizio

 

 

La consegna del documento e dei documenti relativi avverrà in formato elettronico con archiviazione presso la nostra struttura per consentire al manager di poter eventualmente riscaricare e stampare tutta la documentazione in caso di necessità.

Il Servizio di redazione Privacy Europea e tutti i consigli per l’adeguamento aziendale non comprendono il costo dell’Amministratore di Sistema che sarà invece responsabile di tutte le informazioni, raccolta evidenza non conformità e richiesta al manager del loro adeguamento.

Siamo a ricordare che solo il manager o Amministratore dell’azienda è responsabile della mancata osservanza della regolamentazione europea rispondendone anche in solido.

 

I nostri consulenti sono a vostra completa disposizione, se siete seriamente interessati non pensateci e contattateci.

data storage email su server privato - consulenza aziendale - statistiche web - cloud object storage service - backup remoto - mx backup email - assistenza tecnica e sistemistica - decreto privacy europea - pubblicità internet - recupero dati da supporti

Protezione fiduciaria società Ltd britannica

Protezione fiduciaria società LTD britannica consente la salvaguardia della propria identità mettendoci al sicuro da spiacevoli conseguenze

Molte persone, spesso si domandano in quale modo poter avere la riservatezza necessaria per registrare una società e non comparire tra gli amministratori, finanziatori e/o proprietari e la nostra soluzione è il servizio di protezione fiduciaria. Protezione Fiduciaria

I motivi di tale scelta legata ad una stretta privacy possono essere molteplici quale il non voler rivelare alla concorrenza l’apertura di una nuova società, il rispetto di un accordo di non concorrenza con il datore di lavoro odierno o precedente.

Spesso esistono anche seri motivi per i quali non si intende far conoscere il proprio indirizzo o il proprio nome oppure, ma non trascurabile, il problema di un divorzio in corso oppure imminente che mette in condizione di dover proteggere i propri beni.

Dopo attenta analisi, abbiamo messo in campo delle soluzioni idonee alla protezione della privacy, che si evolvono in una serie di servizi necessari a tal proposito.

La SHADOIT CONSULTANCY GROUP puo’ mettere a disposizione un direttore (director), un azionista (shareholder) ed un segretario (secretary) fiduciario per una completa protezione della vostra privacy, proteggendo cosi’ i vostri interessi e quelli della vostra compagnia Limited.

Come avviene in moltissimi altri Paesi, i nomi degli amministratori di una società pubblica o privata, sono registrati in documenti che spesso possono essere consultati pubblicamente (visure) grazie alla messa a disposizione su internet ad opera delle Camere di Commercio.

In Gran Bretagna la Companies House, svolgendo il ruolo delle Camere di Commercio, detiene il registro delle imprese presenti sul territorio Britannico rendendolo consultabile pubblicamente.

Il servizio di protezione fiduciaria della SHADOIT CONSULTANCY GROUP, permette di mantenere anonimo il nome reale della proprietà della società, impedendone cosi’ la comparsa nei registri pubblici, non eludendo assolutamente le leggi in vigore dello Stato Britannico e degli altri Paesi

Si potrà richiedere all’amministratore della SHADOIT CONSULTANCY GROUP, di incaricare o rivestire egli stesso, la figura di director della vostra società Limited o LTD e si potrà anche richiedere un secondo director per una questione di immagine aziendale orientata al business internazionale.

La figura del director fiduciario si occuperà di tutti gli obblighi burocratici ed amministrativi della compagnia ma con il limite del potere esecutivo e bancario.

Infatti il direttore fiduciario, non avrà assolutamente poteri esecutivi se non esplicitamente (per scritto) richiesti dalla proprietà effettiva della società, e non avrà modo di poter accedere al conto corrente bancario della società.

Una ulteriore soluzione, in caso di privacy ulteriore, sarà la possibilità di richiedere alla SHADOIT CONSULTANCY GROUP ed alla sua proprietà ed al suo amministratore, di amministrare completamente la vostra società Britannica occupandosi del vostro business ed interfacciandosi con voi per le decisioni.

L’unico istante in cui verrà rivelata la composizione dei reali proprietari della vostra società, sarà solo dietro esplicita richiesta del Tribunale Britannico e mai di nessuna richiesta proveniente dal vostro Paese di residenza.

I nostri consulenti sono a vostra completa disposizione, se siete seriamente interessati non pensateci e contattateci.