GDPR, sansioni e responsabilità

GDPR, quasi la totalità dei nostri clienti, informati sugli obblighi dei nuovi adempimenti in materia di sicurezza dei dati personali, ci chiede?, e se non mi adeguo?.

Agenda Digitale, nella figura di Fabio Di Resta, risponde per noi, con uno splendito articolo che riportiamo per comodità di seguito, ma prima oltre che ringraziare il Dr. Di Resta, continuerei ad elencare i suoi titoli e le sue competenze: DPO in ambito Ospedaliero e sanitario, avvocato, LL.M., presidente del EPCE, titolare dello studio Di Resta Lawyers, docente al Corso di Alta Formazione in Antiriciclaggio, Univ. Sapienza di Roma.


https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/sites/3/2017/04/15170211/privacy_125855486.jpgChiariamo nel dettaglio quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018. Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

Come è noto l’attuale quadro normativo in materia di protezione dei dati personali è stato riformato dal nuovo regolamento europeo sulla protezione dei dati personali (Reg. UE 2016/679 anche indicato con l’acronimo GDPR).

Tale regolamento in realtà è il più importante tassello di una riforma europea complessiva della materia che riguarda altre direttive europee e trattati internazionali (per esempio, la direttiva UE 2016/680, la revisione del Reg. UE 2001/45 e della Convenzione internazionale del 28 gennaio 1981, n. 108).

Da non dimenticare che l’attuazione del GDPR ha già comportato la recente approvazione di due leggi come la legge 163/2017 (legge di delega al Governo, entrata in vigore il 21 novembre 2017) e la legge 167/2017 (in vigore dal 12 dicembre 2017) che contiene tra le altre disposizioni anche l’aggiornamento della disciplina relativa all’art. 29 del Codice della Privacy con specificazione degli elementi essenziali della nomina del responsabile del trattamento dei dati personali.

In tale contesto, ci si chiede di continuo quale sarà il quadro di responsabilità e sanzionatorio dopo l’applicazione del GDPR, ossia dopo il 25 maggio 2018.

Le sanzioni GDPR

Appare appena il caso di ricordare come tra le sanzioni amministrative più ricorrenti nel corso degli ultimi anni in materia vi sono certamente le sanzioni relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere, l’omessa o inidonea informativa comporta infatti una limitazione all’autodeterminazione informativa dell’interessato ed è prevista dall’art. 161 del Codice della Privacy.

Si tratta di un articolo che prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.

Inoltre, vi sono altre violazioni amministrative previste dal Codice della Privacy, oltre all’omessa o incompleta notificazione, un articolo che merita particolare attenzione per la sua importanza sul lato operativo e applicativo soprattutto relativamente alle attività di vigilanza da parte del Garante, della Guardia di Finanza e degli pubblici ufficiali che riscontrano le predette violazioni, è l’art. 162 del Codice.

L’articolo punisce varie fattispecie dalla cessione dei dati personali tra titolari autonomi del trattamento alla comunicazione dei dati sanitari all’interessato in violazione dell’art. 84 del Codice.

In tale contesto, di particolare rilevanza operativa appare il comma 2 bis dell’art. 162 del Codice, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e chi commette un trattamento illecito dei dati personali.

Per quanto attiene alla fattispecie di violazione amministrativa relativa al trattamento illecito dei dati preme mettere in evidenza che l’art. 167 C.d.P. effettua una serie di rinvii ad altre disposizioni, può costituire infatti trattamento illecito dei dati l’omesso consenso informativo (p.e. consenso unico per una pluralità di finalità incompatibili, compreso il marketing e promozione di beni o servizi) oppure comunicazioni indesiderate in violazione dell’art. 130 C.d.P.

Chi risponde delle violazioni

A questo punto occorre considerare che spesso si ritiene che l’unica persona tenuta a rispondere della sanziona amministrativa sia sempre solo e soltanto il titolare del trattamento (da intendersi come l’entità nel suo complesso), al responsabile del trattamento non è pertanto mai attribuibile l’illecito amministrativo?

In tali casi l’Autorità deputata all’accertamento dovrà operare in base alla legge n. 689/1981 la quale prevede che la notificazione del verbale venga effettuata al contravventore e al responsabile in solido, in tal modo la stessa viene non di rado contestata per esempio al titolare del trattamento e al responsabile del trattamento, nella misura in cui sussista un formale atto di designazione e siano riscontrate anche inadempienze gravi imputabili a tale ruolo.

Inoltre, merita di essere portato all’attenzione del lettore che l’art. 3 della legge n. 689/1981 prevede che la violazione amministrativa sia applicata anche qualora ricorra solo la colpa dell’agente, questo ha risvolti particolarmente rilevanti sul piano operativo.

Il passaggio merita una breve riflessione, mentre l’art. 167 sul trattamento illecito è un reato a dolo specifico e richiede anche che ricorra il nocumento (danno patrimoniale apprezzabile), questi due elementi non sono necessari affinché ricorra la violazione amministrativa è pertanto sufficiente che non vi sia un consenso o che il consenso prestato non abbia i requisiti di legge perché venga applicata la violazione amministrativa.

Per esempio di recente con riguardo all’inidoneità dell’informativa relativa ad un impianto di videosorveglianza il Garante ha contestato tale violazione sia al titolare del trattamento (una società editrice) in qualità di responsabile in solido, sia alla persona fisica che era stata designata in qualità di responsabile del trattamento dei dati rispetto al trattamento dei dati personali relativi alle immagini registrate [1].

Il caso citato non rappresenta certo una rarità nel quadro degli accertamenti e mette certamente in evidenza come un inadempimento grave da parte del responsabile del trattamento possa comportare responsabilità non solo sul titolare.

A tale riguardo diversi articoli del regolamento europeo rafforzano gli obblighi generali e di sicurezza del trattamento in capo al responsabile del trattamento, dagli articoli 28 e 30 all’art. 33 sulla notificazione della violazione dei dati, infine, l’articolo 83, lettera d) dando rilevanza al grado di responsabilità tra titolare e responsabile rende esplicita l’attribuzione anche al responsabile dell’illecito amministrativo.

Le responsabilità del RPD o DPO

Sull’altro versante, altro quesito ricorrente nei vari consessi specialistici è quali sono le responsabilità del RPD o DPO rispetto a quelle del titolare e del responsabile del trattamento?

Tale scenario deve far riflettere anche sulle responsabilità della nuova figura del responsabile della protezione dei dati personali (c.d. RPD) ovvero Data Protection Officer (c.d. DPO).

Si tratta come è noto di una sorta di supervisore indipendente che dovrà supportare il titolare e il responsabile nel garantire che l’organizzazione sia conforme al GDPR, o meglio è una funzione organizzativa assimilabile per molti versi al ruolo dell’Organismo di Vigilanza in base al d.lgs. 231/2001 (legge sulla responsabilità amministrativa degli enti).

Sebbene in questa sede non sia possibile analizzare i requisiti soggettivi (conoscenza specialistica e capacità di assolvere compiti anche con riguardo al settore specifico) ed oggettivi della nomina del DPO, preme ricordare che lo stesso ha compiti molto complessi, ulteriori e molto diversi rispetto al responsabile della trattamento dei dati, che vanno dalla comunicazione e sensibilizzazione al monitoraggio e alla verifica di conformità e dell’adeguatezza delle analisi dei rischi e delle misure di sicurezza, non ultimo il DPO sarà anche il punto di contatto con l’Autorità Garante per la protezione dei dati personali.

Sotto il profilo delle responsabilità da illecito amministrativo, il DPO non ha responsabilità dirette[2], tuttavia, permangono certamente responsabilità in via di rivalsa sul piano risarcitorio a favore del titolare e del responsabile che abbia subito un danno derivante da colpa grave o inadempienze gravi riferibili ai compiti previsti per il DPO.

Inoltre, il DPO come noto dovrà effettuare una supervisione complessa in ordine alla conformità al regolamento e dovrà anche garantire l’esercizio dei diritti dell’interessato con tempi prestabiliti.

Come accennato il DPO dovrà inoltre collaborare e fungere da contatto con l’Autorità garante mostrando il lavoro svolto in termini di documentazione (c.d. principio di accountability o di responsabilizzazione) delle misure di sicurezza adeguate ai rischi inerenti ai trattamenti de dati personali dell’organizzazione.

 Peraltro, non si devono trascurare i requisiti di indipendenza di tale figura, da una parte la non ingerenza da parte del titolare e dall’altra l’assenza di un conflitto di interessi.

Quest’ultimo aspetto dovrà essere valutato attentamente da parte del titolare e del responsabile del trattamento, evitando di designare persone che determinano le finalità e le modalità del trattamento e declinando tali criteri rispetto ai poteri e alle responsabilità del candidato DPO.

A questo riguardo il Gruppo Articolo 29 ha ritenuto che possa sussistere conflitto di interesse del DPO con i seguenti ruoli: l’amministratore delegato, il responsabile del personale, il responsabile del sistema informativo, il direttore sanitario, il direttore marketing.

Una scelta errata su questo aspetto critico potrà comportare l’applicazione di sanzioni molto elevate in capo al titolare e al responsabile del trattamento, è pertanto consigliabile avere un approccio proattivo al rischio, avviando sin da subito le dovute valutazioni per conformarsi al nuovo regolamento.

Le sanzioni in prospettiva europea

Infine, in riferimento al nuovo quadro sanzionatorio previsto dal regolamento europeo si ricorda che come previsto dall’art. 84 del regolamento europeo la materia penale rientra nella competenza di ciascuno Stato Membro, mentre le sanzioni amministrative pecuniarie sono armonizzate e devono osservare i criteri di effettività, proporzionalità e dissuasività.

L’art. 83 richiamando i tre criteri sopra menzionati specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate.

In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molti elevati fino al 20 milioni di euro o il 4% del fattura mondiale annuale, il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri, a tale scopo le recenti linee guida pubblicare il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione che, in casi irrisori e che non hanno rischi significativi per gli interessati, potrà anche corrispondere una mera diffida amministrativa in alternativa alla sanzione pecuniaria (reprimand nella versione inglese), ma dall’altra parte, tenendo conto delle circostanze specifiche una violazione dei dati anziché comportare la pena fino a 10 mln di euro, sanzione relativa anche all’inosservanza della disciplina rivolta al Data Protection Officer, potrebbe anche comportare una sanzione pecuniaria superiore se dovessero ricorrere delle circostanze di maggiore gravità ed inosservanza delle prescrizioni dell’Autorità di controllo[3].

Consulting Privacy Team

Risultati immagini per privacyMBLI S.a.s. di Marchese Daniele Rosario ha dapoco un “CONSULTING PRIVACY TEAM”, e si presenta al mercato offrendo servizi globali in materia di privacy di alto livello, grazie all’elevata competenza professionale dei suoi membri.

 

 

MBLI S.a.s. di Marchese Daniele Rosario è capace di:

  • ampliare ed arricchire il background professionale di ciascun Cliente;
  • facilitare un confronto diretto sulle tematiche del momento;
  • approntare forme di gestione e di verifica attente e condivise, capaci di generare forme di controllo in grado di offrire un servizio di alta qualità;
  • condividere le esperienze imprenditoriali, legali ed informatiche specialistiche facenti parte del patrimonio professionale di ciascun membro;
  • collaborare con organizzazioni complesse ed articolate, alle quali offrire un servizio di consulenza privacy multidisciplinare che solo l’incontro di diverse professionalità può offrire;
  • sviluppare un rapporto di amicizia, rispetto e fiducia tra i suoi membri e con la Clientela;
  • consentire alla Clientela di scegliersi il miglior Privacy Consulting Group solo dopo aver giudicato le competenze professionali necessarie ed idonee alle proprie esigenze.

La divisione Consulting della MBLI S.a.s. dispone delle necessarie referenze per operare con vera professionalità, referenze che rispecchiano le pluriennali esperienze dei suoi costitutori e che sono certificate da Enti preposti.

Offriamo a supporto uno staff di prim’ordine negli ambiti dell’organizzazione aziendale, legale, informatica.

Lo Staff è già pronto e qualificato per assumere il ruolo di PRIVACY OFFICER o DATA PROTECTION OFFICER. Ruolo che peraltro sta già svolgendo in diverse strutture aziendali private.

1. COMPETENZE ED ESPERIENZE SPECIFICHE

La divisione Consulting Privacy ha competenze ed esperienze dirette e specializzate nei seguenti settori.

IMPRESA

  • Aziende individuali (commerciali, artigiane, consulenziali, etc.);
  • Agenzie viaggi;
  • Impiantistica (specializzata e non);
  • Settore Produzione di mezzi agricoli e movimento terra;
  • Settore Edile (produzione e progettazione);
  • Settore Metalmeccanico (produzione e progettazione);
  • Settore Produzione di mezzi agricoli e movimento terra;
  • Settore della grande distribuzione;

SERVIZI

  • Associazioni di categoria;
  • Associazioni ed enti assistenziali e di volontariato;
  • Associazioni ed Enti sportivi;
  • Studi commercialistici;
  • Studi di consulenza fiscale ed amministrativa;
  • Studi di consulenza del lavoro;
  • Software house ed aziende informatiche;
  • Web agency;
  • Studi di marketing;
  • Studi pubblicitari;
  • Agenzie assicurative;
  • Studi Tecnico Professionali;
  • Teatri ed agenzie di spettacolo;

SANITA’

  • Distribuzione di farmaci
  • Studi di medici di famiglia
  • Studi dentistici
  • Studi oculistici
  • Studi ginecologici

ENTI E PUBBLICA AMMINISTRAZIONE

  • Enti pubblici e Comuni
  • Associazioni culturali

ISTRUZIONE

  • Istruzione Privata (di ogni ordine e grado)
  • Pubblica Istruzione (Istituti Comprensivi e Scuole Superiori)

SETTORI SPECIALI

  • Call Center e Telemarketing
  • Videosorveglianza
  • Geosatellizzazione
  • Droni e apparecchiature speciali
  • Specializzazione particolare in gruppi d’aziende e internazionalizzazione d’impresa (Paesi in white/black list Privacy)
  • Fotografi

2. NOTA INFORMATIVA

Benché con il Decreto 5/2012 sia stata abolita la redazione del DPS (Documento Programmatico per la Sicurezza), unico documento riepilogativo di tutti gli adempimenti obbligatori posti in capo ai soggetti che trattano dati personali di terzi, sono ancora in vigore molteplici obblighi e sanzioni che di seguito, a titolo riepilogativo e non esaustivo, riportiamo:
Riepilogo dei principali obblighi:

  • L’obbligo di aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (art.34 del Codice, lettera D e art.35 lett. A)
  • L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc. artt. 29 e 30 del codice e punto 15 dell’allegato B)
  • L’obbligo d’individure, incaricare e valutare periodicamente quelle figure che si occumano del nostro Sistema Informatico (Provvedimento del Garante del 27 novembre 2008)
  • L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi;
  • L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)
  • L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)
  • L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)
  • L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
  • L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)
  • L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)
  • L’obbligo di stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
  • L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)
  • L’obbligo d’informare tutti i soggetti interessati sulle modalità di trattamento dei dati personali (soprattutto se riferiti a persone fisiche e/o dati sensibili o giudiziari), come previsto dall’art. 13 del Codice.

Obbligo d’adeguamento delle procedure aziendali ai pronuciamenti del Garante in materia di tutela dei lavoratori, L. 300/70 (Statuto dei lavoratori), Videosorveglianza, Posta Elettronica,
Navigazione Internet, Immagini e Video, News e Newsletter, Siti web, etc. E normative specifiche ad essi connesse.
Naturalmente il quadro degli obblighi non è disgiunto da quello sanzionatorio. Oltre alle ispezioni specifiche, oggi operate non solo dalla Guardia di Finanza ma anche da Polizia di Stato,
Carabinieri, Vigili Urbani, etc., le sanzioni amministrative sono esemplificabili come segue:
Quadro delle sanzioni in vigore al 2015:

• Art. 161: Omessa o inidonea informativa all’interessato ex art. 13 DLgs 196/03 – Da 6.000 a 36.000 euro
• Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento – Da 10.000 a 60.000 euro
• Art. 162 c.2 -ter: Inosservanza delle prescrizioni del Garante – Da 30.000 a 180.000 euro
• Art. 163: Omessa o incompleta notificazione – Da 20.000 a 120.000 euro
• Art. 164: Omessa informazione o esibizione al Garante – Da 10.000 a 60.000 euro
• Art. 167 c.1: Trattamento di dati personali senza consenso – Reclusione da 6 a 18 mesi
• Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati – Reclusione da 6 a 24 mesi
• Art. 167 c.2: Obbligo di separazione dei dati sensibili – Reclusione da 24 a 36 mesi
• Art. 169: Omissione delle Misure Minime di sicurezza – Arresto fino a due anni

3. LA NOSTRA ATTIVITA’:

L’attività prevede:

Una sessione o più sessioni di auditing interno, preliminari a qualsiasi attività, al fine di raccogliere informazioni sullo stato legale ed organizzativo dell’Azienda o dello Studio rispetto al Dlgs 196/03. In queste sessioni si procederà all’analisi dettagliata della documentazione esistente ed una ricostruzione di massima dei flussi di dati.

Le sessioni termineranno con una prima, breve, relazione sullo stato dell’applicazione della normativa in azienda e le aree di miglioramento/intervento, secondo l’ottica richiesta specificatamente alla nostra struttura.
Una sessione o più sessioni per la raccolta di tutti i dati necessari ed una analisi, insieme ad un Vostro incaricato, dei profili legislativi, dei soggetti coinvolti, delle banche dati, dei rischi connessi e del sistema informatico. Il disegno di dettaglio dei flussi di dati personali, cartacei/informatici, in essere all’interno della struttura, da/verso i Clienti e i soggetti coinvolti nell’attività sanitaria.
Stampa dei documenti e consegna degli stessi presso la Vostra sede, con contestuale istruzione della persona Responsabile nell’impiego degli stessi.
Assistenza all’implementazione organizzativa dei documenti predisposti e formazione del Vostro Personale;
Pianificazione di una verifica interna a distanza di alcuni mesi dalla consegna del documento mirante alla valutazione dello stato dell’implementazione di quanto predisposto all’interno dell’organizzazione.

DETTAGLIO ESEMPLIFICATIVO DELLE ATTIVITA’ DOCUMENTALI:

1 – Redazione del Documento Riepilogativo del Sistema Privacy (DRSP) articolato, generalmente, nei seguenti punti:

  • Analisi ed individuazione dei trattamenti operati, descrizione sintetica, natura dei dati, struttura di riferimento ed eventuali altre strutture esterne che hanno accesso ai dati;
  • Elenco dei trattamenti con descrizione degli strumenti informatici utilizzati, individuazione delle banche dati, descrizione del supporto su cui risiedono, individuazione della tipologia dei dispositivi di accesso e tipologia di interconnessione;
  • Analisi delle strutture preposte al trattamento dei dati, individuazione delle stesse e del responsabile, elencazione dei trattamenti operati per ogni struttura e descrizione sintetica dei compiti della struttura;
  • Analisi rischi legati al comportamento del personale, con definizione del livello di gravità stimata (rischi principali presi in considerazione: Furto di credenziali, Carenza di consapevolezza, Comportamenti sleali, Errori materiali, etc);
  • Analisi rischi legati agli strumenti, con definizione del livello di gravità stimata (Azione Virus o codici malefici, Spamming o altre tecniche di sabotaggio, Malfunzionamento o degrado degli strumenti, Accessi non autorizzati, Intrusioni informatiche, Intercettazioni dati trasmessi viarete, etc);
  • Analisi rischi dovuti ad eventi legati al contesto, con definizione del livello di gravità stimata (Accessi non autorizzati ai locali, Furto di strumenti, Eventi distruttivi dolosi o accidentali, Guasto a sistemi complementari, errori umani nella gestione della sicurezza);
  • Elenco delle misure di sicurezza adottate o da adottare, descrizione con definizione dei trattamenti dati interessati ed indicazione delle misure di sicurezza già adottate o da adottare (i principali: formazione dipendenti, antivirus, controlli su pc, controlli locali e strutture, firewall, protezione e-mail e rubriche telefoniche, impianti e verifiche installazioni, cambio password, controlli sul server centrale, analisi sistemi raid, analisi sistemi ups, protezione trasmissioni dati tra varie sedi);
  • Analisi su criteri e sulle modalità di salvataggio e di ripristino dei dati, indicazione per ogni banca dati degli strumenti usati, della procedura utilizzata, della frequenza del backup, della ubicazione di conservazione delle copie, degli incaricati al backup e delle procedure di ripristino nonché quelle di test;
  • Analisi soggetti esterni che effettuano trattamenti dati, individuazione della attività esternalizzata, del tipo di dati interessati, del soggetto e descrizione dei criteri adottati perl’adozione delle misure di legge;

Inventario Hardware e Software, con individuazione degli strumenti informatici utilizzati, dei principali software e database, in rapporto a quanto previsto dal Dlgs 196/03

  • Individuazione degli Amministratori di Sistema interni e/o esterni;
  • Individuazione del Titolare dei dati, e dell’eventuale Responsabile se da nominare;
  • Descrizione della struttura aziendale con riferimento ai trattamenti dati;
  • Amministratori di Sistema: documentazione e misure tecniche;

2 – Documento riservato contenente indicazioni in merito a:

  • Individuazione delle misure minime di sicurezza da adottare per la protezione dei dati nel caso quelle adottate siano insufficienti (supporto informatico e cartaceo);
  • Individuazione e proposta degli adeguamenti hardware e software necessari per la corretta protezione delle banche dati ed il coretto espletamento dei trattamenti operati in azienda;
  • Individuazione delle adeguate procedure di backup dei dati ed indicazioni sulle metodiche relative alla conservazione in sicurezza delle copie;
  • Analisi ed individuazione delle corrette procedure di autenticazione e di screen saver;
  • Definizione della misura di registrazione e conservazione file di log;

3 – La consulenza si completa con la produzione delle seguenti aree documentali aziendali personalizzate:

  • Nomina del responsabile trattamento dati;
  • Informativa per dipendenti e collaboratori;
  • Lettere di incarico per dipendenti e collaboratori;
  • Nomina custode parole chiave;
  • Nomina degli Amministratori di Sistema, interni ed esterni;
  • Nomina Responsabili di Trattamento in Outsourcing;
  • Informativa per clienti/fornitori;
  • Informativa ridotta pubblicabile in calce alla fattura;
  • Richiesta attestazione a società terze;
  • Amministratori di Sistema;

4 – Codici di accesso all’applicativo WEB che permette l’accesso a tutti i files relativi alla modulistica come da elenco di seguito (l’elenco non è esaustivo di tutta la documentazione consegnata):

  • Nomina del responsabile del trattamento;
  • Nomina incaricati al trattamento dati;
  • Informativa per trattamento di dati;
  • Informativa ridotta;
  • Informativa da far sottoscrivere a ciascun dipendente o collaboratore;
  • Identificazione dei soggetti che possono essere ammessi agli archivi dopo l’orario di chiusura;
  • Nomina dell’incaricato della manutenzione del sistema;
  • Nomina del custode delle parole chiave;
  • Cartello videosorveglianza;
  • Fac simile di Copertina e-mail;
  • Fac simile di Copertina Fax;
  • Altra documentazione aziendale personalizzata;
  • Testo integrale della legge 196/03;

5. DAL 2015: IL NUOVO REGOLAMENTO EUROPEO PER LA PRIVACY

Le norme attualmente in vigore in materia di privacy (95/46/EC) risalgono al 1995 e sono state recepite dal legislatore italiano nel 1996 (L.675/96) e successivamente modificate nel 2003 (D.Lgs. 196/03).
In questo periodo la Commissione Europea solleverà, dopo 2 anni di lavoro, il velo sulle nuove regole di tutela dei dati personali, affidate a un regolamento e a una direttiva. Il regolamento che andrà a sostituire la direttiva del 1995 non dovrà essere recepito dai singoli stati membri, ma sarà pienamente operativo dal momento in cui verrà approvato dal Parlamento Europeo e dal Consiglio. La direttiva sulla protezione dei dati personali avrà per oggetto le finalità di prevenzione e investigazione in caso di reati penali. Sull’apparato sanzionatorio interverrnno successivamente i singoli Paesi.

Si tratta, dunque, più di una semplice revisione alla normativa in vigore: oltre alla revisione delle norme attuali alla luce dell’esperienza maturata nell’ultimo quindicennio, si è tenuto conto delle indicazioni del trattato di Lisbona, che ha allargato il diritto alla privacy dal primo pilastro, che riguarda la libertà di circolazione delle persone, al secondo e soprattutto al terzo pilastro, relativi rispettivamente alla politica estera e alla sicurezza pubblica.

La bozza del regolamento punta anche a stabilire un quadro legislativo comune per il mercato unico europeo, limitando le difficoltà a cui un’impresa, che opera a livello transnazionale, deve fare fronte: normative differenti e disparate decisioni prese dalle authority nazionali. Ciò non esclude, tuttavia che le autorità o i legislatori nazionali possano prendere decisioni valide per i singoli stati membri.

Cosa prevederà il nuovo Regolamento:

  • Per ogni questione legata alla protezione della privacy, le imprese e i cittadini dovranno interfacciarsi con un unico punto di contatto, il “one-­-stop-­-shop”. Per implementare questo sistema ed esercitare il nuovo ruolo, le autorità nazionali saranno dotate di poteri e risorse;
    inoltre sarà rafforzato il coordinamento tra le authorities nazionali per verificare il rispetto della legge.
  • Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e personale interno e a mantenere un database.
  • All’art. 5 lett. f) viene sancito il principio dell’accountability dei titolari del trattamento (poi meglio specificato nell’art. 22) in virtù del quale spetta agli stessi un obbligo generalizzato e preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare i controller sin dalle fasi embrionali dei processi informativi).
  • Imprese ed enti pubblici dovranno introdurre la figura del data protection officer (o privacy officer = Responsabile del Trattamento dei dati personali aziendali) a cui affidare le policy in materia di protezione dei dati: in campo pubblico la nuova struttura sarà sempre obbligatoria, mentre le aziende private se ne dovranno dotare nel caso trattino un certo numero di contatti.
  • Sarà richiesto alle aziende di ottenere “specifici e espliciti” forme di consenso dagli utenti nelle operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno degli istituti fondanti la presente disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e contenere il più possibile fenomeni di massa quali il direct profiling e il tracking cookies (si renderà necessaria, presumibilmente, l’adozione di idonei filtri pop-up volti a saggiare la previa approvazione del soggetto interessato). Il Titolare, inoltre, sarà gravato dall’onere di fornire la prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento (mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c e 15 D.Lgs. 196/2003). Alla regola del consenso si affianca, poi, quella sulla trasparenza dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche per facilità di consultazione e intellegibilità di forma (l’onere dell’informativa all’interessato, invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai conosciutissimo art. 13 D.Lgs. 196/2003).
  • Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design) che riducano di default il trattamento dei dati personali al minimo necessario anche riguardo al periodo massimo di conservazione e ai soggetti che possono avere accesso ai dati. Questò avrà un forte Impatto nello sviluppo di software destinati al trattamento dei dati (CRM, ERP, gestionali ecc.) e sul rinnovamento di tutto il parco informatico delle imprese e studi professionali.
  • Sarà sancito l’obbligo di conservare documenti contenenti una serie di informazioni volte a descrivere le operazioni di trattamento di dati personali gestite tanto dal titolare quanto dati responsabili del trattamento (qualcosa di simile all’attuale DRSP, ma di portata ancora più ampia).
  • Per le imprese sarà più facile trasferire i dati all’estero facendo leva sulle proprie regole interne.
  • Diventerà obbligatorio notificare eventuali perdite di informazioni (cosiddette serious breaches).
  • Sarà posta particolare attenzione al trattamento dei dati personali che circolano sul web:
    • diritto all’oblio, cioè la possibilità di non trattenere vita natural durante le informazioni nella memoria della rete, ma di poterle cancellare, soprattutto quando diventate obsolete;
    • l’uso dei cookies (i “biscottini” che molti siti utilizzano per capire le preferenze dei loro utenti);
    • l’ingresso e l’uscita dai social network con la codificazione della portabilità del profilo (“data portability”) da parte di chi si sposta;
    • la definitiva affermazione che l’indirizzo IP è un dato personale;
  • Infine prevederà l’eliminazione dell’obbligo per il Titolare di notificare i propri trattamenti all’Autorità Garante (sarà sufficiente , infatti, la conservazione della documentazione comprovante le modalità del singolo trattamento).

Ulteriore misura è la predisposizione di un regolamento di protezione dei dati al fine di costituire un sistema completo per la gestione della sicurezza nella tecnologia dell’informazione secondo quanto previsto dagli standard ISO/IEC 27001. La norma è coerente con il sistema di gestione della qualità ISO 9001 e grazie al sistema è possibile ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi di accesso non autorizzato o di trattamento non consentito. Si intende così proteggere l’organizzazione dalla commissione dei reati presupposto per la responsabilità amministrativa quali delitti informatici e trattamento illecito di dati ai sensi dell’articolo 24 bis del s. 231/2001.

Iperius Remote

Iperius Remote, un Desktop remoto semplice, veloce, completo.

La MBLI S.a.s. di Marchese Daniele Rosario, dopo attente valutazioni ha deciso di utilizzare Iperius Remote un software leggero e versatile per collegamento remoto a qualsiasi computer o server Windows. Nessuna installazione o configurazione di firewall richiesta, trasferimento file, sessioni multiple, accesso automatico non presidiato, presentazioni e condivisione schermo. Una utility di controllo remoto semplicissima da usare, sicura, affidabile e ad un costo imbattibile.

Continua a Leggere→

Documento Valutazione dei Rischi (DVR)

documento-valutazione-rischiIl Documento di Valutazione dei Rischi (DVR)

Cosa è la valutazione del rischio?

La valutazione dei rischi è uno degli obblighi principali di ogni Datore di Lavoro (art.li 17, 28 e 29 D.Lgs 81/08). Per effettuare la valutazione dei rischi di una realtà lavorativa occorre individuare tutti i pericoli connessi all’attività svolta e quantificare il rischio, ossia la probabilità che ciascun pericolo si tramuti in danno, tenuto conto dell’entità del potenziale danno.

 

A quale sanzione incorre il Datore di Lavoro che non effettua la valutazione dei rischi?

La mancata valutazione dei rischi da parte del Datore di Lavoro è sanzionabile con arresto da 3 a 6 mesi o ammenda da € 2.500 a € 6.400.

Cosa è il DVR?

Il Datore di Lavoro ha l’obbligo di effettuare la valutazione dei rischi in forma scritta, elaborando un documento denominato “Documento di Valutazione dei Rischi” o “DVR”.

Quanto costa effettuare la valutazione dei rischi e l’elaborazione del DVR?

Il costo è a partire da 200 € per piccole attività di basso rischio.

Cosa deve contenere il DVR?

Il Documento di Valutazione dei Rischi, anche detto DVR, non si deve limitare a riportare l’anagrafica aziendale, l’organigramma della sicurezza e tutti i pericoli relativi all’attività svolta, suggerendo semplicemente alcuni consigli per la gestione dei vari pericoli, ma deve calarsi nella realtà valutata. Occorre analizzare tutte le fasi lavorative interne all’azienda, individuando tutti i pericoli connessi a ciascuna fase e quantificando tutti i rischi derivati. E’ necessario dunque misurare ciascun rischio, non è sufficiente solo menzionarlo del documento. Nel DVR deve essere inoltre presente un programma di miglioramento della sicurezza nel tempo, dove vengono riportate tutte le misure di prevenzione predisposte, il soggetto responsabile dell’attuazione ed una programmazione temporale.

Per poter redigere un DVR è indispensabile un sopralluogo da parte di un Tecnico della Sicurezza, che effettuando le registrazioni e le misurazioni necessarie, sarà in grado di valutare quantitativamente tutti i rischi. E’ per questi motivi che non è possibile redigere un DVR senza il sopralluogo tecnico. I cosiddetti “DVR on line”, ossia che vengono redatti senza la visita del professionista in azienda, risultano gravemente incompleti ed in caso di visita ispettiva da parte degli organi di controllo generano immancabilmente prescrizioni e sanzioni.

Cos’è un Documento di Valutazione dei Rischi Standardizzato (DVRS)?

E’ il Documento di Valutazione dei Rischi redatto partendo da un modello di riferimento di base approvato dalla Commissione Consultiva e recepito con il decreto dei Ministeri del Lavoro e dell’Interno (Decreto Interministeriale del 30 novembre 2012). Può essere utilizzato da tutti quei Datori di Lavoro di aziende che contano fino a 50 lavoratori con esclusione delle seguenti: aziende industriali, impianti o installazioni con i lavoratori esposti a rischi chimici, biologici, da atmosfere esplosive, cancerogeni mutageni e connessi all’esposizione ad amianto.

Il DVRS prevede una struttura suddivisa in quattro fasi:

  • descrizione dell’azienda, del ciclo lavorativo, delle attività e delle mansioni;
  • individuazione dei pericoli presenti;
  • valutazione dei rischi associati ai pericoli individuati e misure di attuazione;
  • definizione del programma di miglioramento.

Sicurezza lavoro: le sanzioni per il Datore di lavoro e per il Dirigente

Sicurezza lavoro: le sanzioni per il Datore di lavoro e per il Dirigente

Quando si parla di sicurezza sul lavoro, ci si dimentica spesso di approfondire il discorso relativo all’impianto sanzionatorio presente nel D.Lgs. 81/08 ed aggiornato dal successivo D.Lgs. 106/09 . In ragione di ciò, appare quanto mai opportuno ricapitolare le principali sanzioni a carico delle figure aziendali della sicurezza.

Naturalmente, partiamo dal Datore di lavoro, che in quanto titolare del rapporto di lavoro e detentore dei poteri decisionali e di spesa, è colui che ha le maggiori responsabilità in materia di salute e sicurezza sul lavoro.

Il Datore di lavoro ha, innanzitutto, due obblighi non delegabili, ossia: la valutazione di tutti i rischi (con conseguente redazione del Documento di Valutazione dei Rischi) e la nomina del Responsabile del Servizio di Prevenzione e Protezione (RSPP). Nel primo caso, il Datore di lavoro, che non ottempera a tale obbligo, è sanzionato con un’ammenda che va da un minimo di 1.096 ad un massimo di 4.384 euro, se il Documento risulta incompleto. In caso di omessa redazione del Documento di Valutazione dei Rischi (DVR) il Datore di lavoro rischia l’arresto da 3 a 6 mesi oppure un’ammenda da 2.500 € a 6.400 €. La mancata nomina dello RSPP, invece, comporta per il Datore di lavoro l’arresto da 3 a 6 mesi oppure un’ammenda da 2.500 € a 6.400 €.

Per inadempienze relative agli obblighi di informazione, formazione e addestramento dei dirigenti, dei preposti nonché dei lavoratori e dei loro rappresentanti, il datore di lavoro è sanzionato con l’arresto da due a quattro mesi o con un’ammenda da 1.315,20 a 5.699,20 euro.

Per quanto riguarda gli obblighi in capo sia al Datore di lavoro che al Dirigente si riportano le principali sanzioni previste dal D.Lgs. 81/08:

  • arresto da due a quattro mesi o ammenda da 1.644 a 6.576 euro per mancata nomina del medico competente (nei casi previsti dalla normativa); mancata fornitura ai lavoratori dei dispositivi di protezione individuale (DPI); mancato aggiornamento delle misure di prevenzione in occasione di importanti mutamenti organizzativi e produttivi;
  • arresto da due a quattro mesi o ammenda da 1.315,20 a 5.699,20 euro nel caso in cui i lavoratori vengano adibiti a mansioni non adatte alle loro capacità professionali o alle loro condizioni di salute;
  • ammenda da 2.192 a 4.384 euro per mancato invio dei lavoratori alla visita medica entro le scadenze previste,
  • arresto da due a quattro mesi o ammenda da 822 a 4.384 euro per mancata consegna agli RLS del Documento di Valutazione dei Rischi.
  • sanzione amministrativa pecuniaria da 500 a 1.800 € per omessa comunicazione all’INAIL degli infortuni sul lavoro che comportino un’assenza dal lavoro di almeno 1 giorno, escluso dell’evento, ai soli fini statistici e informativi;
  • sanzione amministrativa pecuniaria da 1.000 a 4.500 € per omessa denuncia all’INAIL degli infortuni sul lavoro che comportino un’assenza dal lavoro superiore a 3 giorni;
  • sanzione amministrativa pecuniaria da 50 a 300 € per omessa comunicazione all’INAIL dei nominativi del RLS.

Infine, è bene ricordare che il Datore di lavoro ed in alcuni casi il Dirigente, non sono le sole figure aziendali soggette alle sanzioni previste dal D.Lgs. 81/08. Anche RSPP, Medico competente ed lavoratore hanno degli obblighi in materia di sicurezza sul lavoro, che se non rispettati possono trasformarsi in sanzioni penali, amministrative o pecuniarie.  

smtp

A seguito di continue richieste da parte dei clienti della divisione WEB della MBLI S.a.s., la BusinessPower, si è deciso di acquistare e rivendere un servizio professionale di SMTP che permette di utilizzare sil servizio di posta in uscita senza alcuna limitizaione.

MBLI S.a.s., possiede, alcuni servers ad uso esclusivo di invio della posta, rispetto ai normali piano piani di hosting condiviso, come quello da noi offerto, hanno un numero limitato di email disponibili per l’invio su base giornaliera, oltre che invio massimo di mail in unità di tempo, ad esempio non è possibile inviare più di 15 email in 1 minuto. Ovviamente con tali limitazioni gestire campagne di marketing oppure newsletter con un numero elevato di destinatari diventa pressochè impossibile, aquistando questo servizio avrai la certezza di poter svolgere il tuo lavoro in completa serenità.
Per l’utilizzo del servizio non è necessario che il dominio o la casella di posta elettronica che si intende utilizzare per l’invio dei messaggi email sia presso un Hosting BusinessPower, infatti è possibile utilizzare come sender qualsiasi indirizzo email con dominio proprietario (es. info@tuodominio.it, info@tuodominio.com etc.), non è possibile utilizzare come sender indirizzi di email gratuiti (es. @gmail.com, @hotmail.com, @libero.it etc.) in quando non è possibile per tali caselle email cambiare i record SPF. Nel caso non si disponga di un dominio, è possibile acquistare la registrazione o il trasferimento del dominio ed associarlo al pacchetto SMTP desiderato.
Al fine di garantire un alta consegna dei messaggi email (high-deliverability), i nostri server dedicati al servizio SMTP sono configurati con multipli indirizzi IP dedicati ed italiani per l’invio dei messaggi con indirizzo IP a rotazione (ogni messaggio email sarà inviato con un ip differente).

Il nuovo servizio potrà essere richiesto da tutti i clienti sia per le nuove sottoscrizioni che per i vecchi, per i domini già registrati.

La BusinessPower, ha chiesto all’amministrazione della MBLI S.a.s., di sviluppare dei piani che permettano in modo semplice ed economico di potere accedere al servizio.

L’acquisto del piano SMTP, è ora disponibile direttamente sul nostro sito ecommerce http://ecommerce.mbli.it

 

Voucher Digitalizzazione

https://www.danea.it/blog/wp-content/uploads/2014/11/voucher-digitalizzazione.jpgVoucher per le PMI: adottata la delibera CIPE sulla copertura finanziaria.

Cos’è

È una misura agevolativa per le micro, piccole e medie imprese che prevede un contributo, tramite concessione di un “voucher”, di importo non superiore a 10 mila euro, finalizzato all’adozione di interventi di digitalizzazione dei processi aziendali e di ammodernamento tecnologico.

La disciplina attuativa della misura è stata adottata con il decreto interministeriale 23 settembre 2014.

Cosa finanzia

Il voucher è utilizzabile per l’acquisto di software, hardware e/o servizi specialistici che consentano di:

  • migliorare l’efficienza aziendale;
  • modernizzare l’organizzazione del lavoro, mediante l’utilizzo di strumenti tecnologici e forme di flessibilità del lavoro, tra cui il telelavoro;
  • sviluppare soluzioni di e-commerce;
  • fruire della connettività a banda larga e ultralarga o del collegamento alla rete internet mediante la tecnologia satellitare;
  • realizzare interventi di formazione qualificata del personale nel campo ICT.

Gli acquisti devono essere effettuati successivamente alla prenotazione del Voucher.

Le agevolazioni

Ciascuna impresa può beneficiare di un unico voucher di importo non superiore a 10 mila euro, nella misura massima del 50% del totale delle spese ammissibili.

Come funziona

Con decreto direttoriale 24 ottobre 2017 sono state definite le modalità e i termini di presentazione delle domande di accesso alle agevolazioni. Le domande potranno essere presentate dalle imprese, esclusivamente tramite la procedura informatica che sarà resa disponibile in questa sezione, a partire dalle ore 10.00 del 30 gennaio 2018 e fino alle ore 17.00 del 9 febbraio 2018. Già dal 15 gennaio 2018 sarà possibile accedere alla procedura informatica e compilare la domanda. Per l’accesso è richiesto il possesso della Carta nazionale dei servizi e di una casella di posta elettronica certificata (PEC) attiva e la sua registrazione nel Registro delle imprese.

Entro 30 giorni dalla chiusura dello sportello il Ministero adotterà un provvedimento cumulativo di prenotazione del Voucher, su base regionale, contenente l’indicazione delle imprese e dell’importo dell’agevolazione prenotata.

Nel caso in cui l’importo complessivo dei Voucher concedibili sia superiore all’ammontare delle risorse disponibili (100 milioni di euro), il Ministero procede al riparto delle risorse in proporzione al fabbisogno derivante dalla concessione del Voucher da assegnare a ciascuna impresa beneficiaria. Tutte le imprese ammissibili alle agevolazioni concorrono al riparto, senza alcuna priorità connessa al momento della presentazione della domanda.

Ai fini dell’assegnazione definitiva e dell’erogazione del Voucher, l’impresa iscritta nel provvedimento cumulativo di prenotazione deve presentare, entro 30 giorni dalla data di ultimazione delle spese e sempre tramite l’apposita procedura informatica, la richiesta di erogazione, allegando, tra l’altro, i titoli di spesa.

Dopo aver effettuato le verifiche istruttorie previste, il Ministero determina con proprio provvedimento l’importo del Voucher da erogare in relazione ai titoli di spesa risultati ammissibili.

Normativa

Informazioni e contatti

Eventuali quesiti possono essere inviati all’indirizzo mail: info.voucherdigitalizzazione@mise.gov.it oppure inviare una richiesta tramite la nostra pagina informazioni.

Alle richieste di chiarimenti pervenute viene fornita una risposta attraverso le FAQ (risposte alle domande frequenti). Non verranno date risposte a quesiti relativi a casi specifici ma solo a quelli aventi carattere generale relativi all’interpretazione delle disposizioni attuative.

 

Ultimo aggiornamento: 30 ottobre 2017

Assistenza online

http://www.netpartnerconsulting.com/wp-content/uploads/2015/09/NPC-assistenza.jpgL’assistenza online è ormai matura per essere un servizio a tutti gli effetti.

La MBLI S.a.S, ha deciso di estendere la possibilità di usufruire del servizio di assistenza remota, inserendolo nel listino dei servizi, il valore aggiunto offerto dalla nostra organizzazione risiede nei servizi ed in particolare nel post-vendita,siamo famosi per il nostro un supporto che non lascia mai solo il cliente e che garantisce affidabilitá, know-how, professionalitá, rapiditá esecutiva.

Il servizio viene espletato presso i Ns. laboratori o presso il cliente, intervenendo in ambito Hardware e Software, ma sempre più spesso ci viene richiesto l’intervento in remoto, economico e risolutivo, avendo sempre garanzia di risoluzione e sicurezza dei dati trattati.

Offriamo assistenza su sistemi client/server, periferiche, sistemi di rete, problematiche legate alla sicurezza dei PC e dei dati, configurazione router per la connessione a Internet, configurazione VPN tra sedi aziendali geograficamente dislocate.

Con un contratto di assistenza si ha diritto a dei privilegi sui tempi d’intervento, a degli sconti rispetto al costo di listino per gli interventi una-tantum a tempo. Si ha diritto ad assistenza per e-mail e telefonica. I contratti di assistenza tecnica prevedono interventi di due tipi: On-Site e tramite Teleassistenza.

Molto del nostro lavoro viene gestito in remoto attraverso software evoluti di connessione a distanza: garantiamo in questo modo tempestività d’intervento e riduzione dei costi per i nostri clienti.

La teleassistenza risolve in maniera brillante, economica e veloce tutte quelle problematiche informatiche fastidiose che però non bloccano in maniera totale il PC e che consentano una connettività.

Per risolvere i vostri problemi basta ordinare un intervento (verrà richiesto il pagamento anticipato per i primi 30 minuti) e aspettare di ricevere un sms o una telefonata al numero di telefono che avrete indicato nell’ordine.

Non appena concordato l’intervento bastera cliccare sul link che vi verrà fornito ed immediatamente verrete messi in contatto con un nostro tecnico informatico che si adopererà al meglio per risolvere on line e immediatamente il vostro problema. L’assistenza avverrà attraverso un software specifico e di altissima sicurezza, il tecnico potrà operare sul vostro computer come se si trovasse fisicamente davanti al vostro PC.

Potrà quindi assieme a voi eseguire l’intervento pur rimanendo in sede.
Sul vostro schermo vedrete quindi le operazioni che sta eseguendo per il ripristino del computer e potrete anche parlare con lui per seguire lo solgersi dell’intervento.
Quindi è molto semplice.

Continua a Leggere→