Autore:

Responsabile Protezione Dati, obblighi e poteri

Posted on by

Risultati immagini per responsabile protezione dati 679Il Regolamento generale sulla protezione dei dati modifica profondamente la figura del responsabile del trattamento, pur mantenendone ferma la definizione rispetto alla precedente direttiva da cui era derivata anche la normativa italiana.

Il Dlgs 196/03, all’articolo 4, definiva “responsabile”, “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”, mentre l’Art. 29 del Codice privacy, rubricato “Responsabile del trattamento” disponeva:

  1. “Il responsabile è designato dal titolare facoltativamente.
  2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
  3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
  4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
  5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.”

Il Regolamento generale sulla protezione dei dati, invece, si occupa del responsabile del trattamento all’articolo 28, individuandone analiticamente doveri e responsabilità, ma i suoi compiti, come vedremo più specificamente nel prosieguo, non si esauriscono nel citato articolo. Tuttavia basterà, per ora, limitarsi a riportare la definizione offerta dall’articolo 4 del medesimo Regolamento per poter già evidenziare alcune preliminari differenze: «responsabile del trattamento» è, per il legislatore europeo, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

La prima differenza (già da molti evidenziata) rispetto alla normativa italiana (nella formulazione dell’articolo 29 del Codice privacy sopra riportata, antecedente alla novella del 20 novembre 2017), riguardava il passaggio da un ruolo “facoltativo” a uno “obbligatorio” nel senso che nel Regolamento -ove, peraltro, è molto aumentata la capacità del titolare del trattamento di operare scelte discrezionali (seppure nel rispetto dei parametri dettati dal Regolamento stesso)-  è precluso al titolare operare una scelta discrezionale in ordine alla  designazione del responsabile del trattamento. Il titolare può, in una fase antecedente, scegliere se operare o meno l’esternalizzazione di un servizio, ma non può, una volta che abbia optato per l’esternalizzazione, scegliere se nominare o meno il responsabile del trattamento: il ruolo di responsabile emerge ex se, in base all’atteggiamento che il soggetto concretamente assume rispetto alle attività di trattamento che gli sono state delegate da parte del titolare.

Il Codice della privacy, invece, qualifica espressamente come “facoltativa” la nomina del responsabile. In ordine alla nomina dei soggetti esterni, nel tempo, la facoltatività della designazione è stata mitigata da diverse eccezioni, derivanti da alcuni provvedimenti generali del Garante (in conseguenza dei quali si era aperto anche un certo dibattito in ordine al travalicamento, da parte dell’Autorità, dei limiti segnati dalla legge).

Al di là della discussione in ordine alla fonte del potere del Garante di dettare norme in contrasto con l’impianto normativo nazionale (seppure in via di eccezione), di fatto abbiamo avuto interventi del Garante che, ponendo un obbligo di designazione che scaturiva dal concreto assetto dei trattamenti operato dal titolare, gettavano le fondamenta di un impianto molto simile a quello tratteggiato dal Regolamento generale sulla protezione dei dati, in cui non ha alcun rilievo che le parti si qualifichino contrattualmente come titolari o come titolare e responsabile. Queste qualificazioni, infatti, sono del tutto irrilevanti se non riflettono il potere di disposizione che i contraenti esercitano sui dati: saranno l’assetto dei trattamenti operati di fatto e il potere decisionale che questi soggetti sono in grado di dispiegare in ordine alle finalità e ai mezzi dei trattamenti, a qualificarne il ruolo, definendoli come titolare o responsabile.

Come si riconosce, però, il titolare, rispetto al trattamento? E cosa differenzia il titolare dal responsabile?¹

Il titolare è colui che decide in ordine alle finalità e ai mezzi del trattamento (in altre parole decide per quale scopo trattare i dati e con quali modalità operare i trattamenti), mentre il responsabile (del trattamento) si limita a trattare i “ dati personali per conto del titolare del trattamento”, secondo la definizione offerta dall’articolo 4 del Regolamento.

La definizione, quindi, ricalca perfettamente quella già contenuta nella direttiva 95/46/CE.

A questo punto è lecito domandarsi se, rispetto al Codice della privacy, vi siano mutamenti significativi (nel codice infatti la definizione era quella di soggetto “preposto” al trattamento) e se sia ancora possibile individuare il responsabile all’interno della struttura del titolare o se invece tale ruolo potrà essere ricoperto solo da un soggetto giuridicamente distinto dal titolare, quindi un soggetto esterno. Tale problematica (già trattata su queste pagine)², sebbene sia destinata a rimanere sullo sfondo per l’impatto pratico che dispiega sull’organizzazione del titolare, non è oggetto della presente analisi, che sarà limitata a individuare le novità introdotte dal Regolamento rispetto al ruolo del Responsabile del trattamento, senza declinarlo nelle peculiarità del nostro ordinamento, salvo quanto si dirà brevemente ora.

Il nuovo articolo 29 del Codice della privacy

Nel dibattito in ordine alla configurabilità o meno del responsabile interno, infatti, si è appena registrato un sorprendente intervento del legislatore nazionale il quale, con la Legge europea, ha pensato bene di modificare ed integrare anche l’articolo 29 del Codice della Privacy.

La Legge 20 novembre 2017, n. 167  “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017”³  all’articolo Art. 28 reca la modifica dell’articolo 29 del Codice della Privacy, disponendo quanto segue:
“Modifiche al codice in materia di protezione dei dati  personali, di cui al decreto legislativo 30 giugno 2003, n. 196
1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo  30 giugno  2003,  n.  196,  sono  apportate  le seguenti modificazioni:

a) all’articolo 29:

1) dopo il comma 4 e’ inserito il seguente:

«4-bis. Fermo restando quanto previsto ai commi 1, 2, 3 e  4, il titolare  può  avvalersi,  per  il  trattamento  di  dati,  anche sensibili, di  soggetti  pubblici  o  privati  che,  in  qualità  di responsabili del trattamento, forniscano le garanzie di cui al  comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la  tipologia dei dati, la durata del trattamento, gli obblighi e i diritti  del responsabile  del  trattamento  e  le  modalità  di  trattamento;  i predetti atti sono adottati in conformità a schemi tipo  predisposti dal Garante»;

2) il comma 5 e’ sostituito dal seguente:

«5. Il responsabile effettua il trattamento attenendosi  alle condizioni stabilite ai sensi  del comma  4-bis  e  alle  istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui  al  comma 2, delle proprie istruzioni e di quanto stabilito negli atti  di  cui al comma 4-bis»⁴;

E’ evidente l’intento del legislatore di  distinguere un soggetto interno da uno esterno, e spostare l’asse della discrezionalità della nomina: la nomina del responsabile è discrezionale, dice in sostanza il comma 4 bis (richiamando il comma 1, che enuncia la facoltatività della designazione), tuttavia, se il responsabile si avvale di soggetti pubblici o privati esterni per i trattamenti, deve nominarli responsabili.

Infatti, il titolare esercita la sua discrezionalità nel momento in cui decide di avvalersi di soggetti  esterni (“il titolare  può  avvalersi,  per  il  trattamento  di  dati,  anche sensibili, di  soggetti  pubblici  o  privati”), ma una volta che abbia scelto di chi avvalersi, non può scegliere se nominare o meno il prescelto responsabile: i soggetti esterni, infatti, operano solo in qualità di responsabili del trattamento.

C’è da domandarsi come la norma potrà trovare applicazione in assenza dei citati schemi tipo che l’Autorità dovrebbe emanare (presumibilmente ai sensi dell’articolo 28 comma 8, che, peraltro richiama il meccanismo di coerenza), e come faranno i titolari e i responsabili ad avvantaggiarsi sulla imminente scadenza in ordine alla contrattualizzazione dei trattamenti, in assenza degli schemi tipo che la norma impone (almeno fino al 25 maggio 2018, quando la norma interna in contrasto con il Regolamento potrà comunque essere disapplicata), ma tali interrogativi esulano dal tema del presente articolo, e meritano un’analisi mirata e certamente più dotta di quella che chi scrive potrebbe tentare.

C’è da domandarsi, anche, che senso possa avere una modifica di tale tenore, alla vigilia dell’applicabilità del Regolamento. A chi scrive pare che non abbia alcuna evidente utilità,  se non quella di preservare, accanto alla nomina a responsabile esterno, anche una nomina a responsabile “interno”⁵ che mantenga la sua natura facoltativa a si discosti dal novero delle responsabilità dettate dai data processing agreement (accordi sul trattamento), sommariamente richiamati nell’articolo solo per la parte che riguarda i responsabili esterni.

Il legislatore sembra far trasparire la pervicace intenzione di lasciar sopravvivere l’articolo 29 del Codice della Privacy, e l’impianto delle nomine interne (scritte) che reca con sé, senza scossoni o discontinuità di rilevo (al netto della compatibilità di tale scelta con la struttura europea edificata dal Regolamento -quando non proprio con la lettera del RGPD- che come detto, non è oggetto della presente disamina), pertanto, le novità in ordine al ruolo di responsabile del trattamento si moduleranno, con ogni probabilità, sul solo responsabile esterno.

I limiti del responsabile nel Regolamento

Prima di addentrarci nell’analisi del ruolo di responsabile del trattamento delineato dal Regolamento, occorre evidenziare i limiti entro cui tale ruolo si configura, puntualizzando che:

  1. Un soggetto che tratti i dati personali per conto del titolare è responsabile rispetto ai trattamenti che effettui, appunto, per conto del titolare, ma resta titolare autonomo dei trattamenti che effettui per proprio conto (ovvero dei quali decide in autonomia finalità e mezzi – come nel caso dei propri dipendenti, ad esempio);
  2. Un responsabile che, violando il Regolamento, determini finalità e mezzi dei trattamenti che effettui per conto del titolare sarà considerato titolare del trattamento in questione.

La nuova “responsabilità del responsabile” del Trattamento nel Regolamento

La prima novità di rilievo rispetto alla normativa previgente riguarda il fatto che il Codice della privacy si rivolgeva esclusivamente al titolare, prevedendo che solo al titolare fosse imputata la responsabilità per eventuali mancanze⁶.

Invece il Regolamento coinvolge entrambi gli attori del trattamento, “responsabilizzandoli”.

In tal senso va letto l’articolo 28 del Regolamento, che elenca i compiti del responsabile, enfatizzando la collaborazione che questi è tenuto a prestare al titolare e prevedendo una sua peculiare responsabilità diretta⁷.

In tal senso si legge anche l’obbligo di tenere i registri del trattamento per conto del titolare, posto dall’articolo 30 comma 2 del RGPD, o, ancora, l’obbligo di designare il responsabile della protezione dei dati (o data protection officer) dettato dall’articolo 37 sempre del RGPD.

Cosa deve fare in concreto il responsabile del trattamento?

L’Autorità francese per la protezione dei dati (Commission Nationale de l’Informatique et des Libertés) ha pensato di pubblicare una guida che, in maniera semplice e schematica, aiuti i responsabili del trattamento ad orientarsi tra i nuovi obblighi. L’autorità individua gli obblighi dei responsabili, che schematizza secondo 3 grandi insiemi (obbligo di tracciabilità e trasparenza, obbligo di garantire la sicurezza dei dati, e obbligo di avvisare, assistere e consigliare il titolare), ai quali aggiunge il fatto di dover tenere in considerazione anche gli obblighi riferiti alla protezione dei dati sin dalla progettazione e per impostazione predefinita, seppure questi ultimi,  prima facie, sembrino gravare sul solo titolare.

Tracciabilità e trasparenza

Innanzi tutto la CNIL evidenzia il fatto che il rapporto tra titolare e responsabile sia tracciabile e trasparente, effetto che si ottiene, ai sensi dell’articolo 28 del Regolamento, contrattualizzando i reciproci obblighi.

In particolare il responsabile del trattamento ha necessità di ricevere per iscritto le istruzioni in ordine ai trattamenti che effettui per conto del titolare, dato che dovrà poter dimostrare che tratta i dati personali soltanto su istruzione documentata del titolare del trattamento.

Sempre per iscritto il responsabile dovrà essere autorizzato dal titolare ad avvalersi di un sub-responsabile, nel caso in cui voglia designarne uno.

Inoltre il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento.

Infine, dovrà anche tenere il registro dei trattamenti per conto del titolare per cui tratti i dati.

Sicurezza dei dati

Uno specifico obbligo del responsabile è quello riferito alla sicurezza dei dati: il responsabile del trattamento non ha solo l’obbligo di adottare tutte le misure che consentano un livello di sicurezza dei dati personali che sia adeguata al rischio, ma deve anche garantire la riservatezza dei trattamenti (anche vincolando alla riservatezza i propri dipendenti), deve informare il titolare del trattamento di tutte le violazioni di dati di cui sia venuto a conoscenza,  e una volta terminata la prestazione di servizi, secondo le istruzioni ricevute dal titolare, dovrà cancellare tutti dati o restituirli al titolare, e cancellare tutte le copie esistenti (a meno che non sussista un obbligo di conservazione dettato dalla legge).

Avvisare, assistere e consigliare il titolare

Al responsabile sono posti in capo anche obblighi che implicano una collaborazione col titolare che si concreta nell’avvisare, assistere e consigliare il titolare in merito al trattamento; ad esempio, in ordine al fatto di dover dare avviso al titolare, se il responsabile del trattamento ritiene che un’istruzione ricevuta dal titolare violi una qualche norma sulla protezione dei dati, ne informa immediatamente il titolare.

Egli, inoltre deve prestare assistenza la titolare per consentirgli di evadere le richieste inerenti l’esercizio dei diritti degli interessati (“tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato”).

Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, dovrà aiutare il titolare a garantire la conformità con i requisiti di sicurezza del trattamento, notifica delle violazioni di dati e valutazioni di impatto sulla protezione dei dati.

Privacy by design e by default

Inoltre il responsabile dovrà tener conto del rispetto degli obblighi che discendono dai principi di privacy by design e privacy by default, cui è tenuto il titolare ai sensi dell’articolo 25 del Regolamento. Infatti, sebbene tale obbligo gravi formalmente sul solo titolare, la strumentalità che caratterizza il ruolo del responsabile ed il fatto che egli debba offrire le  garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato, implica che nel momento in cui offre un servizio al titolare (di qualsiasi tipo, anche attraverso, ad esempio, una applicazione):

  1. il responsabile, sin dalla fase di progettazione, metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (privacy by design).
  2. metta in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità (privacy by default).

Ad esempio il responsabile dovrà garantire che non sia obbligatorio, dal punto di vista tecnico, compilare un campo il cui conferimento di dati è facoltativo, ma dovrà anche implementare sistemi di cancellazione automatica, di minimizzazione dei dati, di cancellazione automatica e selettiva dei dati personali contenuti in banche dati dopo un certo periodo di tempo, o di gestione dei diritti di accesso o autenticazione su richiesta degli interessati.

Cosa dovranno cominciare a fare i responsabili del trattamento per adeguarsi al Regolamento?

1. capire se occorre nominare un DPO

Il primo passo che suggerisce la  CNIL è comprendere se il responsabile deve nominare un data protection officer (responsabile per la protezione dei dati).

La nomina è obbligatoria in tre ipotesi principali:

  • il l trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • l’attività principale, effettuata per conto del titolare, comporta il monitoraggio regolare e sistematico degli interessati su larga scala;
  • l’attività principale effettuata per conto del titolare consiste nel trattamento di dati sensibili (categorie particolari di dati personali) o giudiziari (dati relativi a condanne penali e a reati) su larga scala.

Le indicazioni per definire meglio il campo di obbligatorietà della designazione del DPO si traggono dalle Linee – guida sui responsabili della protezione dei dati (RPD o DPO) pubblicate dal Gruppo di Lavoro Articolo 29 che, al paragrafo 2.2, si dedica alla designazione del DPO da parte del responsabile, fornendo anche alcuni esempi.

La CNIL ricorda che è una buona prassi nominare il DPO, anche nei casi in cui tale designazione non sia obbligata dalla legge.

Chi scrive rammenta che le norme nazionali possono individuare altri casi in cui la nomina del data protection officer sia obbligatoria, e che, in ogni caso, tranne quando sia evidente che un soggetto non è tenuto a nominare un DPO, il WP29 raccomanda a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti.

Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione (accountability).

2. Analizzare e rivedere i contratti

I contratti dovranno contenere (per iscritto):

  • l’oggetto e la durata della prestazione che il responsabile effettuerà per conto del titolare;
  • la natura e la finalità del trattamento;
  • il tipo di dati personali trattati per conto del titolare;
  • le categorie di interessati,
  • gli obblighi e i diritti del titolare del trattamento
  • gli obblighi e i diritti del responsabile del trattamento, come previsti dall’articolo 28 del Regolamento.

La CNIL fornisce anche alcuni esempi di clausole, essenzialmente ricalcate sull’articolo 28 del Regolamento, che possono essere inserite nei data processing agreement fino a quando non saranno adottate dalla Commissione Europea  le clausole standard, secondo quanto disposto dall’art. 28.7 del RGPD.

3. dotarsi di un registro dei trattamenti

Il responsabile del trattamento, quando previsto dal Regolamento,  deve tenere un registro dei trattamenti che effettua per conto del titolare.

Il registro, che deve essere tenuto per iscritto,  deve contenere:

  • il nome e i dati di contatto di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento;
  • il nome e i dati di contatto del responsabile stesso o dei responsabili del trattamento, se sono più di uno;
  • il nome e i dati di contatto del responsabile della protezione dei dati (data protection officer) se applicabile;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate su cui si fondano;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento.

La CNIL evidenzia come se il responsabile svolge trattamenti per proprio conto, dovrà tenere un altro registro, relativo a quei trattamenti dei quali è titolare: in questi casi andranno tenuti non uno, ma due registri.

È il caso di ricordare che il tema del registro dei trattamenti è stato affrontato anche dal Garante privacy nella sua “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”.  Il Garante ha ricordato che il registro deve avere forma scritta, ma che questa può essere anche elettronica, ed ha richiamato l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 del Codice privacy e quelli che devono costituire il registro dei trattamenti ex art. 30 Regolamento; ha anche dato atto che l’Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

Il Garante ha ricordato, altresì, l’opportunità di procedere, comunque, a una ricognizione dei trattamenti effettuati, catalogandoli sulla base degli elementi sopra elencati e ciò anche prima di predisporre il registro vero e proprio e a prescindere dai limiti dimensionali dell’impresa.

Obblighi del responsabile che nomini un sub-responsabile

Il responsabile del trattamento può designare un altro responsabile del trattamento previa autorizzazione scritta del titolare del trattamento.

l’autorizzazione può essere:

  • specifica, cioè accordata per un solo particolare sub-responsabile, oppure
  • generale, e in questo caso il responsabile del trattamento dovrà informare il titolare del trattamento di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Al sub-responsabile, mediante un contratto, sono imposti gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato tra il titolare del trattamento e il responsabile del trattamento.

E’ importante che il responsabile si avveda che qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, sarà egli stesso a doverne rispondere al titolare: il responsabile iniziale, infatti, conserva nei confronti del titolare del trattamento la piena responsabilità per il corretto adempimento del sub-responsabile.

Ruolo del responsabile in una violazione dei dati

La violazione dei dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il responsabile del trattamento, venuto a conoscenza di una violazione, ne informa il titolare del trattamento senza ingiustificato ritardo.

Il titolare a quel punto potrà trovarsi a dover notificare la violazione all’Autorità, ai sensi dell’articolo 33 del RGPD, e, nei casi di cui all’articolo 34 RGPD, anche a comunicarla all’interessato.

A norma dell’articolo 28 RGPD il responsabile deve assistere il titolare nel garantire la conformità dei trattamenti alle norme che presiedono alla loro sicurezza, comprese quelle inerenti la violazione dei dati personali. Le linee guida in tema di violazione dei dati personali pubblicate in bozza dal Gruppo di lavoro articolo 29 (in fase di consultazione pubblica sino al 28 novembre 2017) hanno chiarito che il contratto tra titolare e responsabile può quindi prevedere anche la possibilità che il responsabile effettui notifiche e comunicazioni per conto del titolare.

Quindi nel caso in cui vi sia una pattuizione che preveda espressamente tale ipotesi nel contratto che lega titolare e responsabile, il responsabile potrà anche ricevere istruzioni in ordine alle modalità di effettuazione della notifica della violazione all’Autorità e alla comunicazione agli interessati.

Ruolo del responsabile nella valutazione di impatto

A dover effettuare la valutazione di impatto sulla protezione dei dati a norma dell’articolo 35 RGPD è il titolare, e la relativa responsabilità gli pende in capo e non può essere traslata sul responsabile.

L’unico obbligo che si configura in capo al responsabile riguarda  il fatto che quest’ultimo deve assistere il titolare nella conduzione della DPIA fornendo ogni informazione necessaria. Questa forma di assistenza dovrà essere prevista nel contratto con il titolare.

Il responsabile beneficia dello sportello unico?

Anche il responsabile stabilito in UE, in caso di trattamenti transfrontalieri, può beneficiare dello  “sportello unico” che gli consente di rapportarsi, per lo più, con una sola Autorità territoriale che viene denominata “capofila”.

Il criterio per l’individuazione dell’autorità capofila è quello dello stabilimento principale, che per il responsabile è il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento in cui sono condotte le principali attività di trattamento.

Il responsabile che non è stabilito in UE è comunque soggetto al Regolamento?

Anche se non è stabilito in UE, il responsabile del trattamento è soggetto al Regolamento se:

  • tratti, per conto del titolare, dati di interessati che si trovano nell’Unione offrendo loro beni o servizi, anche gratuiti
  • monitori, per conto del titolare, il loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione

In questi casi il responsabile deve nominare un rappresentante nell’unione che funga da interlocutore per le autorità di controllo e per gli interessati.

Che succede se il responsabile del trattamento viene meno ai suoi obblighi?

Chiunque subisca un danno materiale o immateriale causato da una violazione del RGPD ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Quindi il responsabile potrebbe essere tenuto a rifondere i danni causati dal trattamento effettuato in violazione della normativa, ma non solo: il responsabile può anche essere destinatario di sanzioni amministrative che possono giungere, a seconda della gravità dell’infrazione commessa sino a 10 o 20 milioni di Euro o, per le imprese,  sino al 2% o al 4% del fatturato globale annuo.

Sanzioni che, a titolo esemplificativo, potrebbero applicarsi nei seguenti casi:

  • se il responsabile agisse travalicando le lecite istruzioni del titolare o contrariamente a tali istruzioni;
  • se il responsabile non aiutasse il titolare a rispettare i suoi obblighi (ad esempio per una notifica di una violazione di dati o per una valutazione di impatto);
  • se il responsabile non mettesse a disposizione del titolare le informazioni che gli consentirebbero di dimostrare il rispetto degli obblighi gravanti sul titolare stesso, o che gli permetterebbero di effettuare l’audit;
  • se il responsabile non informasse il titolare che una sua istruzione costituisce violazione del RGPD;
  • se designasse il sub-responsabile senza essere stato previamente autorizzato dal titolare;
  • se si rivolgesse a un sub-responsabile che non presentasse garanzie sufficienti;
  • se non designasse il DPO essendovi obbligato
  • se non tenesse il registro delle attività di trattamento svolte per conto del titolare

Conclusioni

La figura di responsabile che emerge dal Regolamento è piuttosto complessa, l’intreccio di obblighi e responsabilità necessita di un solido supporto contrattuale, che ne tessa la trama e ne riordini le fila, per consentire ai principali attori del trattamento un’immediata comprensione delle condotte che devono tenere per garantire gli interessati e garantirsi l’immunità dalle sanzioni.

La guida dell’Autorità garante francese che qui si è cercato di seguire quanto più possibile (ma della quale si consiglia la lettura diretta, essendo ben più semplice e sintetica del presente scritto) ha il pregio di schematizzare e semplificare una normativa a tratti frammentata, di lettura non sempre agile, e di darne una visione d’insieme ispirata a indubbia concretezza.

In calce alla guida sono riportate delle clausole esemplificative, che possono ispirare anche la contrattazione nostrana, nei limiti in cui l’infelice, recentissimo, intervento del legislatore non ce lo precluda (ma chi scrive ritiene che la norma, mancando la condizione che la renderebbe applicabile -perché gli schemi contrattuali cui si riferisce non esistono- sia destinata, almeno in parte qua, a non produrre alcun effetto).

Quelli forniti dalla CNIL sono meri esempi, non certo schemi tipo o clausole standard vincolanti, dai quali pertanto ci si può discostare, e che possono essere personalizzati secondo necessità, ma costituiscono un ottimo punto di partenza, riassumendo in un unico documento tutti gli aspetti che si dovranno tenere in considerazione nella redazione dei contratti tra titolare e responsabile in ordine ai trattamenti, compreso il mandato per la notifica per le violazioni di dati, che non emerge ictu oculi dal disposto dell’articolo 28 del Regolamento, ma che potrebbe essere utile nella pratica, soprattutto ove il responsabile abbia una dimensione molto maggiore e una struttura più efficace e organizzata di quella del titolare.

smtp

Posted on by

A seguito di continue richieste da parte dei clienti della divisione WEB della MBLI S.a.s., la BusinessPower, si è deciso di acquistare e rivendere un servizio professionale di SMTP che permette di utilizzare sil servizio di posta in uscita senza alcuna limitizaione.

MBLI S.a.s., possiede, alcuni servers ad uso esclusivo di invio della posta, rispetto ai normali piano piani di hosting condiviso, come quello da noi offerto, hanno un numero limitato di email disponibili per l’invio su base giornaliera, oltre che invio massimo di mail in unità di tempo, ad esempio non è possibile inviare più di 15 email in 1 minuto. Ovviamente con tali limitazioni gestire campagne di marketing oppure newsletter con un numero elevato di destinatari diventa pressochè impossibile, aquistando questo servizio avrai la certezza di poter svolgere il tuo lavoro in completa serenità.
Per l’utilizzo del servizio non è necessario che il dominio o la casella di posta elettronica che si intende utilizzare per l’invio dei messaggi email sia presso un Hosting BusinessPower, infatti è possibile utilizzare come sender qualsiasi indirizzo email con dominio proprietario (es. info@tuodominio.it, info@tuodominio.com etc.), non è possibile utilizzare come sender indirizzi di email gratuiti (es. @gmail.com, @hotmail.com, @libero.it etc.) in quando non è possibile per tali caselle email cambiare i record SPF. Nel caso non si disponga di un dominio, è possibile acquistare la registrazione o il trasferimento del dominio ed associarlo al pacchetto SMTP desiderato.
Al fine di garantire un alta consegna dei messaggi email (high-deliverability), i nostri server dedicati al servizio SMTP sono configurati con multipli indirizzi IP dedicati ed italiani per l’invio dei messaggi con indirizzo IP a rotazione (ogni messaggio email sarà inviato con un ip differente).

Il nuovo servizio potrà essere richiesto da tutti i clienti sia per le nuove sottoscrizioni che per i vecchi, per i domini già registrati.

La BusinessPower, ha chiesto all’amministrazione della MBLI S.a.s., di sviluppare dei piani che permettano in modo semplice ed economico di potere accedere al servizio.

L’acquisto del piano SMTP, è ora disponibile direttamente sul nostro sito ecommerce http://ecommerce.mbli.it

 

Sanzioni amministrative GDPR

Posted on by

sanzioni amministrative pecuniarie, articolo 83 del regolamento europeo 679/2016

Sanzioni amministrative pecuniarie, ragguagli sull’articolo 83 del nuovo regolamento europeo privacy 679/2016

1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi dell’Articolo 83 del Regolamento Europeo 679/2016 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

  • la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • il carattere doloso o colposo della violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

4. In conformità del paragrafo 2 dell’articolo 83, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

  • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 (condizioni applicabili al consenso dei minori), 11, da 25 a 39, 42 e 43;
  • gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
  • gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

5. In conformità del paragrafo 2 dell’articolo 83, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

  • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5 (Principi applicabili al trattamento di dati personali), 6 (Liceità del trattamento), 7 (Condizioni per il consenso ) e 9 (Trattamento di categorie particolari di dati personali) ;
  • i diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 dell’art.83, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8. L’esercizio da parte dell’autorità di controllo dei poteri attribuiti dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

9. Se l’ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l’azione sanzionatoria sia avviata dall’autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica.

KB4074588

Posted on by

KB4074588, Mouse e tastiera non funzionano più!.

Come risolvere il bug dell’update KB4074588

Microsoft ha recentemente rilasciato un update per Windows 10, codice KB4074588, che sta causando diversi preblemi agli utenti per non parlare dei system admin ed a tutto lo staff IT.

Al momento in cui si redige il presente articolo troviamo già tra i nostri clienti già 11 PC aggiornati che hanno il problema: qualsiasi periferica USB smette di funzionare, beh, cosa non da poco, infatti basti pensare che tastiera e mouse oggi sono esclusivamente USB ed è abbastanza difficile trovare adattatori ed anche trovandoli, ormai moltissimi PC e/o Laptop, ne sono privi.

Risultato: non si può più accedere alla macchina, almeno che non si riesca ad eseguire un punto di ripristino che riporti il sistema a prima dell’aggiornamento, che comunque non è procedura facile se non è possibile ne digitare al PC ne muove un mouse perchè non vengono più visti dal sistema. 

Non è chiaro cosa faccia scaturire il problema, ma l’aggiornamento KB4074588, nei sistemi affetti, compromette le porte USB impedendo a mouse e tastiera di funzionare.

L’utente viene lasciato senza la possibilità di interagire col proprio PC, in nessun modo.

Come risolvere questo gran casino?, questa è qualche soluzione:

Riprendere il controllo della macchina

Se il PC/server ha le porte PS/2, usatele per controllare la macchina. In caso contrario, una soluzione percorribile è l’accesso remoto con un remote desktop software come Supremo – se presente – o attraverso Remote Desktop (RDP).

Se persino questa strada non fosse disponibile, potete forzare la Safe Mode (mouse e tastiera funzionano in safe) causando diversi hard-shutdown del sistema. Sconsigliamo vivamente questo metodo in quanto è pericoloso e può compromettere definitivamente il sistema operativo.

Risolvere il problema

Eseguite il comando appwiz.cpl:

KB4074588 bug - appwizcpl command

Disinstallate l’aggiornamento KB4074588:

KB4074588 bug - uninstall update

Aprite le impostazioni di Windows e selezionate Update & Security:

KB4074588 bug - control panel

Cliccate su Advanced options:

KB4074588 bug - windows updates

Attivate Pause Updates:

KB4074588 bug - pause updates

Ora potete riavviare la macchina e riprendere ad utilizzare mouse e tastiera. L’opzione Pause Updates impedirà a Windows di aggiornarsi per qualche settimana, dando tempo a Microsoft di risolvere il problema.

Non esitate a contattarci per ulteriori ragguagli.

3CX il centralino Cloud

Posted on by
 
Centralino telefonico IP - 3CX Management Console3CX è una suite completa di funzionalità di telecomunicazioni unificiata (Unified Communication) che non necessità di downloads addizionali o acquisto di moduli aggiuntivi.
 
La videoconferenza WebRTC integrata su browser open-standard o via app per iOS/Android consente di incontrarsi ovunque vi troviate. L’impulso alla produttività garantito da funzionalità come la Presence, la chat aziendale, la lavagna condivisa, screensharing ed altro ancora, consentono al personale di collaborare meglio e lavorare con più efficienza.
 
3CX trasforma la gestione del centralino in una passeggiata. La gestione ordinaria è ridotta praticamente a zero, grazie all’automazione dei compiti quotidiani e la possibilità di controllare gli eventi critici da un unico pannello di controllo. Gli aggiornamenti del centralino e gli ultimi firmware supportati sono scaricati automaticamente e attivabili in pochi click del mouse. La configurazione Plug&Play del telefoni IP e dei SIP
Trunk garantisce una semplice attivazione e scalabilità. L’eliminazione di noiosi compiti gestionali fa risparmiare tempo all’Amministratore di sistema e la sua nuova console, moderna intuitiva e user-friendly, rende la configurazione facile e indolore.
 
Sicuro, semplice, direttoAbbiamo integrato i protocolli di sicurezza più avanzati, proteggendo le vostre telecomunicazioni contro ogni tipo di attacco. Il centralino offre funzionalità di sicurezza facili da attivare e da gestire, come il blacklisting di indirizzi IP, la crittazione SRTP, il rilevamento automatico di attacchi SIP, l’approvvigionamento dei telefoni via HTTPS, connettività SSL ed un rating A+ da SSL Labs.
Tutto questo in combinazione con un webservera prova di bomba per consentirvi di dormire sonni tranquilli.
 
I softphones per Windows e Mac e le app per iOS e Android lavorano in abbinamento al Web Client per garantirvi una imbattibile connettività e mobilità. Gli utenti possono fare e ricevere chiamate, vedere lo stato di Presence dei colleghi, programmare videoconferenze, partecipare a web meetings, trasferire chiamate e molto altro dal palmo della loro mano. L’integrazione della tecnologia PUSH significa la garanzia di non perdere più nessuna chiamata e di risparmiare batteria.
 
L’integrazione con le altre piattaforme aziendali è più facile che mai; connetti 3CX con i CRM più diffusi come Salesforce, Google Contacts, Office 365 e altri ancora. Il personale risparmierà tempo e aumenterà la produttività, grazie più semplice gestione e reportistica delle chiamate. Oltre a questo, l’extension per Chrome 3CX ClicktoCall consente agli utenti di digitare i numeri direttamente dalle pagine web o dal sistema CRM semplicemente cliccando sul numero evidenziato.
 
Chiedo oggi stesso di potere usufruire della Prova 3CX .
 
Taglia i costi, aumenta i profitti e abbatti le barriere della sede, inizia a pensare e lavorare in maniera globale, risparmia sulla bolletta ed elimina i costi sulle chiamate interne collegando le diverse sedi aziendali e consentendo ai collaboratori esterni di usare il proprio interno ovunque essi siano.
 
In aggiunta, essendo un software, 3CX consente di installare il centralino su un hardware già presente in azienda, senza l’obbligo di acquisto di costose appliance proprietarie. Infine, i costi di trasferta non sono più un problema: gli utenti potranno partecipare a videoconferenze con un click del mouse invece di doversi recare sul posto.

GDPR (Privacy, 679/2016)

Posted on by

http://nethive.it/wp-content/uploads/2017/11/regolamento-GDPR.pngGDPR, l’Italia, insieme al resto delle nazioni europee, dovrà prepararsi ad un nuovo cambiamento rilevante relativo al trattamento dei dati personali ed alla loro protezione. Questa volta è l’Unione Europea a dettare un nuovo approccio che farà registrare, senza distinzioni, un forte impatto su legislazioni, aziende, cittadini, authority di tutto il continente europeo.
Il nuovo regolamento europeo entrerà in vigore nel 2018 e coinvolgerà tutti coloro che producono, conservano o cancellano dati, promuovendo, addirittura, la creazione di nuove figure professionali specifiche.
Tutti abbiamo appreso del recente provvedimento del garante per la protezione dei dati personali relativo alla necessità di implementare una serie e informazioni e/o comunicazioni relativamente alla presenza di cookie all’interno di portali e siti web (argomento ben noto a tutti i web designer o web agency che si occupano di realizzazione si siti web). 
L’ultimo intervento dell’UE, assolutamente indispensabile nell’era digitale e del web, ha invece come obiettivo la previsione di una regolamentazione comune tra i vari Stati ai quali verrà concesso un periodo di almeno due anni per cercare di coordinare le normative esistenti con il nuovo assetto giuridico di riferimento.

Il Regolamento dell’Unione Europea sulla protezione dei dati (GDPR, 679/2016), è stato approvato nel dicembre 2016 e porterà significativi cambiamenti nel corso di 2/3 anni. Il testo presenta, infatti, alcune novità molto interessanti per il nostro quadro giuridico.

Nell’era di Internet occorreva una regolamentzione dei dati che circolano sui cloud, delle banche dati delle forze dell’ordine intercomunicanti tra loro e dei social network, nasce la GDPR, si era manifestata da tempo l’esigenza di prevedere una regolamentazione che fosse comune tra i vari Paesi, soprattutto, in caso di scambio di dati oltre le frontiere.

Al contempo, tuttavia, alcuni interpreti hanno messo in evidenza la forse eccessiva libertà che il Regolamento lascia agli Stati di integrare e dettagliare il quadro giuridico con il rischio di perdere l’attenzione verso l’uniformità sovranazionale.

L’attenzione del legislatore europeo ha reso necessario l’introduzione della nuova GDPR, rivolta ai privati, alle aziende e al settore pubblico, e mira a garantire un ambiente dei dati sicuro. Riassumendo, le novità che hanno più attirato gli operatori del settore sono le seguenti:

  • il diritto all’oblio;
  • la portabilità dei dati;
  • l’analisi del rischio e la valutazione dell’impatto sulla privacy;
  • l’informativa più dettagliata con maggiori tutele per l’interessato (nonché, obblighi per i controller);
  • la cosiddetta privacy by design;
  • la nascita del Data Protection Officer.

Il regolamento generale sulla protezione dei dati (GDPR) mira sia a rafforzare il livello della loro protezione per le persone fisiche i cui dati personali sono oggetto di trattamento, sia a migliorare le opportunità per le imprese nel mercato unico digitale attraverso la riduzione di oneri amministrativi.

Il rafforzamento dei diritti di protezione offrirà, sicuramente, un maggiore controllo sui dati personali. Si avranno, infatti, norme più specifiche che consentiranno ai responsabili del trattamento di trattare i dati attraverso l’obbligo di consenso delle persone interessate ed una migliore informazione su quanto accade ai dati personali una volta condivisi. Inoltre, se un giovane di meno di 16 anni desidererà utilizzare servizi in linea, il prestatore dovrà verificare il consenso dei genitori.

Per quanto riguarda le imprese, il regolamento prevede un insieme unico di regole valido in tutta l’UE al fine di evitare situazioni in cui norme nazionali possano ostacolare lo scambio di dati transfrontaliero.
Si creeranno, in questo modo, condizioni di concorrenza leale e le imprese saranno incoraggiate a trarre beneficio dal mercato unico digitale.

Aumenteranno le responsabilità, inoltre, dei responsabili del trattamento dei dati. Le autorità pubbliche e le imprese dovranno designare un responsabile della protezione dei dati incaricato di garantire il rispetto delle norme. Il regolamento, inoltre, mira a proteggere i dati personali trattati ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

Lo scorso 29 gennaio, durante il convegno organizzato da Europrivacy a Milano, si è discusso circa l’importanza del pianificare la GDPR per essere pronti entro i 24 mesi. Sei grandi campi come risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo.

Un punto particolaremente interessante è quello che impone, alle realtà che controllanti, obblighi sia di analisi del rischio e di previsione sull’impatto che certi tipi di trattamenti possono avere sulla privacy, sia di creazione di nuove figure professionali quali, ad esempio, il Data Protection Officer che si dovrà occupare di valutare la situazione della privacy e delle misure di sicurezza sia nel pubblico sia nel privato.

Notevole anche l’attenzione posta sulla privacy by design, ovvero, sulla valutazione del livello di privacy di un prodotto o di un servizio già al momento della sua creazione o attivazione così da radicare il principio di protezione dei dati personali nel prodotto o servizio stesso.
Le misure di privacy by design imposte dalla direttiva europea sono impegnative e chi non si adeguerà a tale regolamento e violerà il trattamento dei dati personali dei cittadini rischia multe parecchio “salate”.

Dal 2018, dunque, i cittadini potranno affidarsi alle autorità nazionali per il cosiddetto ‘data breache‘, ovvero, la notificazione delle violazioni. Quello che possiamo affermare sin d’ora è che tutte le novità apportate dal nuovo regolamento europeo avranno, senza alcun dubbio, effetti pratici su tutti i sistemi informatici dal momento che tutti i soggetti che trattano dati personali, piattaforme web comprese, dovranno occuparsi di minimizzare tali trattamenti garantendo, in modo prioritario ed in misura ancora maggiore di quanto fatto sinora, trasparenza, compatibilità e sicurezza

Qui alcuni link utili:

Gazzetta Ufficiale Legge L119

Regolamento EU GDPR 2016/679 Italiano

Il GDPR in Italiano 2016-679UE testo integrale – CyberLaws

Slide Powerpoint nuovo regolamento GDPR L119

Rilevazione presenze

Posted on by

App rilevazione presenze e sincronizzazione datiLibemax, rilevazione presenze in mobilità per tutte le attività svolte fuori sede

La soluzione per il controllo presenze del personale in trasferta, autisti, prestatori di servizi di pulizie, vigilanza, assistenza domiciliare, manutenzione verde, lavoratori in cantiere e dipendenti fuori sede.

Acquisizione delle timbrature e controllo accessi in modo intelligente

Sfrutta il GPS, NFC e Beacons per essere ancora più preciso. Timbratura con smartphone per sapere a che ora e in quale luogo è iniziata l’attività. La rilevazione delle presenze che diventa anche un controllo delle attività di commessa.

L’app Rilevazione presenze è la soluzione ideale per la rilevazione presenze da smartphone del personale che lavora fuori sede o in altre filiali. L’app consente di timbrare per la rilevazione presenze attraverso smartphone (Android o iPhone) che possono essere dotati di tecnologia di localizzazione GPS, NFC o Beacons per avere una maggior precisione. I vostri addetti potranno quindi timbrare con il cellulare in loro dotazione (smartphone Android o iPhone) in maniera semplice e veloce, senza bisogno di costose apparecchiature. In tempo reale è possibile conoscere orario e posizione geografica degli addetti all’atto della timbratura oltre che allegati quali fotografie e firme.

I dati di timbratura sono inviati automaticamente ed inviati in forma sicura sui nostri server dedicati, per essere immediatamente disponibili per la consultazione o l’esportazione in Excel da parte del responsabile delle risorse umane.

La nostra app è la soluzione ideale per la gestione delle risorse umane in cantiere, per le imprese di pulizie, per tutti i serivizi svolti da personale in trasferta, vigilanza, manutentori, assistenza domiciliare, manutenzione verde, montatori in cantiere, dipendenti fuori sede e autisti.

L’app oltre ad essere utile per la gestione del personale risulta vincente anche per il controllo del costo del lavoro per singola commessa.

Soluzioni per tutte le esigenze:

App rilevazione presenze e sincronizzazione datiApp rilevazione presenze un’app da installare su ogni smartphone dei dipendenti.
Per cooperative sociali, manutentori e imprese di pulizia. Ulteriori informazioni
 
Timbratrice mobile
Timbratrice mobile un’app per avere con sè una timbratrice sempre a portata di mano. Per capicantiere, capireparto se non vuoi acquistare una timbratrice e hai bisogno di massima mobilità. Ulteriori informazioni 
 
Timbratrice in ufficio
Timbratrice fissa un dispositivo professionale, sottile, sicuro e affidabile da installare sulla parete della tua sede e filiali. Ulteriori informazioni

 

 

Guida all’uso

L’app è struttarata in due parti:

  • da una parte l’app utilizzata dai dipendenti per poter timbrare (app rilevazione presenze, timbratrice mobile o timbratrice smart design)
  • dall’altra il pannello di controllo web (Libemax) dove queste informazioni confluiscono automaticamente e possono essere gestite in tempo reale.

Telecamera IP CUBE

Posted on by

Questa nuova telecamera di sicurezza intelligente di nuova generazione (o monitor per bambini) di Annke con la visualizzazione Wi-Fi Internet è una comoda soluzione di sorveglianza wireless che ti permette di tenere sempre d’occhio ciò che ti interessava sia nella stanza accanto che in strada. Una configurazione Wi-Fi a una sola volta consente di collegare la fotocamera alla rete e di iniziare la visualizzazione in pochi secondi. L’ultima rilevazione PIR funziona con il rilevamento del movimento, in modo da ridurre notevolmente l’allarme falso. Alimentato dal cavo Ethernet, questa fotocamera può essere il tuo compagno più affidabile sia nella sicurezza domestica che in quella aziendale.

 

    • 1080P Alta risoluzione video, registrazione e visione in tempo reale;
    • Un tocco Wi-Fi e configurazione WPS, reale plug and play;
    • Rimuovi due-modo audio con la costruzione-nel microfono e nell’altoparlante

Supporto del rilevamento PIR (infrarosso passivo), ridurre il falso allarme

  • Intrusione di supporto e rilevamento delle traverse, PoE (Power over Ethernet)

PoE—Power over Ethernet

La funzione PoE (Power over Ethernet) consente di accendere la telecamera tramite la porta Ethernet e di trasmettere contemporaneamente il segnale video. Quindi non è necessaria alcuna alimentazione aggiuntiva quando si collega la fotocamera a NVR.

Smart VCA (analisi del contenuto video)

Nel tentativo di risparmiare tempo per riprodurre il video, sono disponibili i rilevamenti di attraversamento della linea e il rilevamento delle intrusioni. Quindi è possibile collegare la telecamera ad un NVR che supporta VCA per la seconda volta la ricerca e l’analisi video.

Clear Two-way Audio

Tramite questa innovativa telecamere puoi parlare e ascoltare le tue iniziative di shinning mentre sei seduto in ufficio o in viaggio d’affari? Il microfono e l’altoparlante incorporati consentono di farlo sui dispositivi mobili da qualsiasi parte del mondo.

Accesso remoto P2P più semplice

La tecnologia P2P all’avanguardia apre la strada per un accesso remoto molto più facile ai dispositivi Android e IOS. La visualizzazione e la registrazione da smartphone, tablet o PC non sono mai così semplici e senza problemi.

 

Una volta attivata l’allarme se si tratta di rilevamento del movimento di rilevazione PIR o motion, un avviso di avviso immediato o un avviso di posta elettronica verrà inviato ai tuoi dispositivi mobili per informarti ASAP, misure così efficaci possono essere prese prima che sia troppo tardi.

Dotato di LED a matrice ad alte prestazioni di nuova generazione, la fotocamera genera una visione notturna in bianco e nero da 10m / 32ft e fornisce una protezione 24 ore su 24 per la tua casa e il tuo business.

Design notevole Dual Stream

Il flusso principale è applicato per la registrazione locale e il sottotensione è per la visualizzazione mobile remota, per cui non si verificherà mai alcuna interferenza tra di loro per rendere più visibile la visualizzazione in tempo reale e la registrazione senza soluzione di continuità.

+CAM HD 7500 OUTDOOR2

Posted on by

+CAM HD 7500 OUTDOOR2 e’ una camera IP espressamente progettata per essere l’accessorio ideale di tutti i piu’ moderni smartphone (iPhone, iPad e Android con connettività 3G/4G/LTE). La APP Security7500 (scaricabile gratuitamente da App Store o Play Store) consente di visualizzare/ascoltare, adesso anche in FullHD (2MP), il video/audio in tempo reale (anche di notte grazie all’illuminazione ad infrarosso) o quelli registrati nella microSD (sino a 64GB).
+CAM HD 7500 OUTDOOR2 e’ immediatamente utilizzabile e pertanto non e’ richiesta alcuna configurazione di altri dispositivi, e’ sufficiente scaricare l’applicazione ed in meno di 2 minuti avrai sempre sott’occhio (da SmarPhone/Tablet Apple o Android) ciò che ti è più caro!
Il software Atlantis CMS7500 a corredo gratuito inoltre permette, in ambienti Windows 8/8.1/10, di gestire sino a 64 canali schedulandone la registrazione (motion detection o continuativa). Infine la doppia interfaccia di rete (Wireless o a filo)e la protezione IP66 (installabile anche in esterno) rendono estremamente facile la collocazione di +CAM HD 7500 OUTDOOR3.
La APP Security7500, capace di gestire l’audio a 1 via, permette di ricevere, gratuitamente e per sempre, le notifiche, generate da rilevazioni di movimento rilevate ora da un PIR integrato capace di ridurre sino al 90% i falsi allarmi, direttamente sullo Smartphone (tramite Push) per non perdere alcun dettaglio.
E’ adesso possibile visualizzare sino a 4 +CAM HD 7500 contemporaneamente.

La MBLI S.a.s. ha selezionato questo prodotto appositamente per l’ottimo rapporto qualità prezzo che lo contraddistingue, infatti grazie al suo grado di protezione IP66 è adatto per essere installato anche in ambienti non ottimali con per esempio, le cantine.

Atlantis PlusCam HD Motor OUT2 7500. Telecamera Wireless da Esterno. Risoluzione Full HD: 1920x1080p a 25fps in H.264. Sensore PIR per rilevazione movimento integrato. 6 IR ld (6mt). Microfono, Wireless e slot micro-SD. App per Android ed Apple. CMS per Windows (sino a 64 dispositivi). Fruibile anche con reti FastWeb. Dotata di interfaccia LAN e wireless. Necessita di una connessione verso internet. Ingresso/Uscita per allarmi programmabile e controllabile da APP. Push Notification gratuito per sempre.

Voucher Digitalizzazione

Posted on by

https://www.danea.it/blog/wp-content/uploads/2014/11/voucher-digitalizzazione.jpgVoucher per le PMI: adottata la delibera CIPE sulla copertura finanziaria.

Cos’è

È una misura agevolativa per le micro, piccole e medie imprese che prevede un contributo, tramite concessione di un “voucher”, di importo non superiore a 10 mila euro, finalizzato all’adozione di interventi di digitalizzazione dei processi aziendali e di ammodernamento tecnologico.

La disciplina attuativa della misura è stata adottata con il decreto interministeriale 23 settembre 2014.

Cosa finanzia

Il voucher è utilizzabile per l’acquisto di software, hardware e/o servizi specialistici che consentano di:

  • migliorare l’efficienza aziendale;
  • modernizzare l’organizzazione del lavoro, mediante l’utilizzo di strumenti tecnologici e forme di flessibilità del lavoro, tra cui il telelavoro;
  • sviluppare soluzioni di e-commerce;
  • fruire della connettività a banda larga e ultralarga o del collegamento alla rete internet mediante la tecnologia satellitare;
  • realizzare interventi di formazione qualificata del personale nel campo ICT.

Gli acquisti devono essere effettuati successivamente alla prenotazione del Voucher.

Le agevolazioni

Ciascuna impresa può beneficiare di un unico voucher di importo non superiore a 10 mila euro, nella misura massima del 50% del totale delle spese ammissibili.

Come funziona

Con decreto direttoriale 24 ottobre 2017 sono state definite le modalità e i termini di presentazione delle domande di accesso alle agevolazioni. Le domande potranno essere presentate dalle imprese, esclusivamente tramite la procedura informatica che sarà resa disponibile in questa sezione, a partire dalle ore 10.00 del 30 gennaio 2018 e fino alle ore 17.00 del 9 febbraio 2018. Già dal 15 gennaio 2018 sarà possibile accedere alla procedura informatica e compilare la domanda. Per l’accesso è richiesto il possesso della Carta nazionale dei servizi e di una casella di posta elettronica certificata (PEC) attiva e la sua registrazione nel Registro delle imprese.

Entro 30 giorni dalla chiusura dello sportello il Ministero adotterà un provvedimento cumulativo di prenotazione del Voucher, su base regionale, contenente l’indicazione delle imprese e dell’importo dell’agevolazione prenotata.

Nel caso in cui l’importo complessivo dei Voucher concedibili sia superiore all’ammontare delle risorse disponibili (100 milioni di euro), il Ministero procede al riparto delle risorse in proporzione al fabbisogno derivante dalla concessione del Voucher da assegnare a ciascuna impresa beneficiaria. Tutte le imprese ammissibili alle agevolazioni concorrono al riparto, senza alcuna priorità connessa al momento della presentazione della domanda.

Ai fini dell’assegnazione definitiva e dell’erogazione del Voucher, l’impresa iscritta nel provvedimento cumulativo di prenotazione deve presentare, entro 30 giorni dalla data di ultimazione delle spese e sempre tramite l’apposita procedura informatica, la richiesta di erogazione, allegando, tra l’altro, i titoli di spesa.

Dopo aver effettuato le verifiche istruttorie previste, il Ministero determina con proprio provvedimento l’importo del Voucher da erogare in relazione ai titoli di spesa risultati ammissibili.

Normativa

Informazioni e contatti

Eventuali quesiti possono essere inviati all’indirizzo mail: info.voucherdigitalizzazione@mise.gov.it oppure inviare una richiesta tramite la nostra pagina informazioni.

Alle richieste di chiarimenti pervenute viene fornita una risposta attraverso le FAQ (risposte alle domande frequenti). Non verranno date risposte a quesiti relativi a casi specifici ma solo a quelli aventi carattere generale relativi all’interpretazione delle disposizioni attuative.

 

Ultimo aggiornamento: 30 ottobre 2017

Nebbiogeno

Posted on by

Nebbiogeno il sistema di antifurto blocca il ladro in un attimo.

Ogni azienda, grande o piccola, ha un sistema d’allarme per proteggere i propri valori. Tuttavia, nonostante ogni precauzione che tu possa prendere, non si può prevenire un tentativo di effrazione. Solo i sistemi di sicurezza attiva come i nebbiogeni impediscono che i tuoi averi vengano rubati o danneggiati.

Una volta penetrati all’interno del tuo edificio, nessun sistema d’allarme può impedire attivamente che i ladri rubino i tuoi averi. I nebbiogeni riempiono l’aria con una nebbia densa che impedisce ai criminali di vedere e quindi di rubare. L’effetto dura abbastanza a lungo da permettere l’arrivo della polizia! La nebbia è innocua e non causerà alcun danno!

Per completare un sistema di sicurezza uno dei componenti piú utilizzati negli ultimi anni, se ci riferiamo in modo particolare a negozi ed uffici, è l’antifurto nebbiogeno.

Questi sistemi sono apparecchiature che consentono, in particolari circostanze, di aumentare la sicurezza di impianti antifurto ed antieffrazione già esistenti. Nel caso di un gioielleria, ma anche di un qualsiasi negozio con merce preziosa, ad esempio, il rapido riempirsi dì fumo dell’ambiente dove è in corso il tentativo di furto, disorienta sicuramente i ladri ed impedisce loro di prendere gli oggetti per rubarli. In piú ci regala un vantaggio sul fattore tempo. I malfattori per un minuto non vedono assolutamente nulla e sono costretti a scappare.

In Italia gli allarmi di tipo nebbiogeno non sono molto diffusi ad eccezione di alcuni settori molto particolari.

Sicuramente le gioiellerie, le boutique, i negozi di elettronica e cine-foto ottica potrebbero trarne sicuro vantaggio ed essere installati come componente aggiuntivo ad un impianto di antifurto. Il sistema con nebbiogeno infatti può collegarsi alla centralina e ai sensori ed essere attivati al movimento di un intruso nell’ area protetta.

Caratteristica principale di questi prodotti è la velocità con la quale ì locali vengono riempiti da una densa e fitta nebbia. In 5 secondi il fumo copre completamente la visibilità, rendendo impossibile la vista per almeno 1 minuti. Nel frattempo suona la sirena, la centralina attiva il combinatore telefonico e parte la chiamata alle forze dell’ordine e al proprietario del negozio o della casa

Per quanto riguarda la connessione all’impianto antifurto esistente, si tratta di un semplice contatto di comando. La nebbia emessa dal dispositivo è assolutamente innocua e non è tossica, almeno se si tratta di impianti certificati; ovviamente i dispositivi vanno ricaricati con il kit liquido dopo l’uso. I prodotti che vengono ospitati nel negozio non sono danneggiati, anche se si tratta di cose delicate di elettronica.

antifurto_nebbiogeno

Alcuni generatori utilizzano uno speciale ‘‘marcatore” (anche questo non nocivo per la salute) che addirittura contamina le persone che si trovano nei locali quando l’impianto si attiva, aggiungendo maggior sicurezza al sistema. I ladri, a meno che non si cambino, sono macchiati di vernice, anche in questo caso non tossica.

Infine, questi impianti sono assolutamente legali e sono previsti dalla normativa europea EN50131-8. Ventilando i locali, la nebbia scompare rapidamente senza lasciare alcuna traccia né conseguenze sugli oggetti.

Sul mercato ci sono diversi produttori, anche italiani, di buona qualità. Per il prezzo si parte da 500 euro per un prodotto medio, dipende ovviamente anche dalla grandezza dell’ ambiente da proteggere.

rimanere sempre accesa e poi perché la fuoriuscita non è cosi veloce come in un dispositivo appositamente studiato per questo scopo. Probabilmente una soluzione del genere potrebbe andare bene per la vetrina di una piccola gioielleria dove il fumo emesso potrebbe nascondere tutto in pochi secondi.

Petya o WannaCry

Posted on by

© ANSA Petya, decodificato il ransomware, si leggeva solo il 13 Aprile dello scorso anno (2016)

Uno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica

Roma – Analizzando il “sequestro” crittografico del disco fisso operato da Petya, un ricercatore noto come leostone è riuscito a crackare il codice del malware e a permettere agli utenti infetti di riprendere il controllo dei dischi fissi.

Petya è una nuova genìa di ransomware progettata per criptare il disco fisso a partire dal Master Boot Record, una procedura che rende in sostanza inaccessibili i dati e complica vieppiù i tentativi di disinfezione (o anche di studio del codice) da parte di utenti e analisti.

A quanto ha scoperto leostone, però, il payload di codifica del ransomware non è perfetto, anzi tutt’altro: estraendo 512 byte di verifica dal settore 55 e 8 byte dal settore 54 del disco infetto (entrambe codificati in Base64), gli utenti possono generare la chiave di decodifica necessaria a sbloccare i dati all’avvio del malware tramite un apposito sito Web.L’estrazione dei byte necessari alla decodifica è facilitata dalla disponibilità di un tool da far girare con il disco infetto collegato a un PC terzo, e il risultato finale della procedura consiste nello sblocco del drive senza dover pagare i Bitcoin di riscatto richiesti dai cyber-criminali.

Gli autori di Petya non sono stati sufficientemente abili da inibire la decodifica, suggerisce leostone, anche se le cose potrebbero cambiare piuttosto in fretta: i pessimisti si aspettano la distribuzione di una nuova variante del ransomware capace di neutralizzare i punti deboli del codice sfruttati dallo sviluppatore.

Alfonso Maruccia
 

Continua a Leggere→

SmartMedia

Posted on by

 

Tavoli Interattivi

SmartMedia  S.r.l. è tecnologia interattiva e innovativa, la MBLI S.a.s., si è “imbattuta in questa azienda durante un evento presso un importante distributore nazionale, conosciuto l’account Manager del Sud Italia, ha condiviso con questo l’entusiamo ed alcune idee di business.

Un po’ di storia, SmartMedia è un’azienda Italiana nata nel 2003, la cui mission è la Produzione e Distribuzione di Tecnologie Interattive e Soluzioni Tecnologiche Evolute per la Didattica e per l’utenza Business.

Totem InterattiviIn breve tempo ha conquistato una consistente quota di mercato sia nell’ambito del settore Educational, grazie a SmartMedia Pro, il proprio Software di Rete Didattica, sia per la distribuzione di prodotti altamente innovativi.

Da sempre attenta all’evoluzione delle tecnologie e dei trend di mercato, SmartMedia decide nel 2014 di investire fortemente nel settore Corporate, per la convergenza delle soluzioni ed anche perché in linea con la progressiva internazionalizzazione del brand.

Lavagne Interattive Multimediali

Dal 2013, infatti, SmartMedia inizia la sua espansione all’estero, aprendo alcune succursali in mercati chiave, per essere presente direttamente e rendere più capillare la distribuzione dei propri prodotti in tutto il mondo:

  • BrasilMedia a Fortaleza (Brasile) per la distribuzione in Sud America – Marzo 2013
  • SmartMedia USA a Miami (Florida) per il mercato dell’America del Nord, Centro America e Canada – Gennaio 2014
  • SmartMedia Europe a Bruxelles per la distribuzione in Inghilterra, Germania, Francia, Olanda, Belgio, Austria e Svizzera (da estendere anche ai restanti paesi europei) – Febbraio 2015

Monitor Grandi Formati

L’evoluzione del mercato dei monitor interattivi, dei pannelli LED e l’avvento di nuove tecnologie, portano Smartmedia allo studio e alla realizzazione di soluzioni per Digital Signage, Visual Merchandising, In-Store Experience SmartCities e Co-Working, unendo la potenza dei propri software ai nuovi dispositivi (touch e non) di diverse forme e dimensioni e realizzando prodotti innovativi di alta qualità.
Grazie alla sua vision innovativa, alla flessibilità della sua organizzazione e all’ottimo rapporto qualità-prezzo, SmartMedia è il partner ideale per portare il meglio delle “Visual Technologies” a tutte le organizzazioni.

Prodotti SmartMedia e loro applicazioni

Monitor Multi-Touch Interattivi, Tavoli Interattivi, Monitor LFD, Sistemi di Video Wall, Pannelli LED e Totem Interattivi, tutti sia per uso interno sia per esterno, rappresentano il “core” dell’offerta SmartMedia e consentono la realizzazione di soluzioni integrate per aziende private e pubbliche amministrazioni, musei, teatri e cinema, centri commerciali o grandi spazi espositivi.

La diffusione, la condivisione e l’interazione di informazioni con i propri clienti o potenziali clienti finali, è importante anche in altri contesti tra i quali Banche e Assicurazioni, studi Medici o negozi di catene in Franchising di grandi Brand o strutture fieristiche, per rendere più coinvolgente l’In-Store Experience e per migliorare la Customer Satisfaction dei propri clienti.

Utili per la presentazione di prodotti o di campagne pubblicitarie all’interno di sale riunioni, presso le receptions di Aziende, Hotels, Concessionarie Auto, anche in abbinamento a Software specialistici, questi prodotti sono un’ottima soluzione per la raccolta dati personali, collegabile al proprio CRM Aziendale.

Una vera esplosione di nuovi prodotti e nuove soluzioni da scoprire insieme a SmartMedia!