Seminario D.Lgs 231/01 ai tempi del Covid-19

D.Lgs 231/01 ai tempi del Covid-19: Responsabilita’ amministrativa degli enti e Modelli organizzativi.

Ne parleremo al seminario organizzato da Isaq Consulting srl e Omnia scrl, agenzia formativa accreditata presso la Regione Toscana, Venerdì 2 Ottobre alle 14.30 presso Confcommercio sede di Pistoia, Viale Adua, 128.
L’incontro è rivolto a datori di lavoro, dirigenti, responsabili aziendali, liberi professionisti e consulenti aziendali ed ha l’obiettivo di fornire ai partecipanti le nozioni di base necessarie  a comprendere gli obblighi previsti dal D.Lgs 231/2001 ai tempi del Covid-19.
Vari i temi affrontati: dai reati e le sanzioni previsti dal Decreto, al Modello Organizzativo Gestionale, all’Organismo di Vigilanza, ad un focus specifico sull’equiparazione ad infortunio del contagio da Covid-19 sul luogo di lavoro.

Il corso è valido come aggiornamento Rspp/Aspp, Dirigenti, Preposti (4 ore/crediti).
La partecipazione è gratuita, mentre per il rilascio dell’attestazione di frequenza il costo è di € 90,00 + iva.

Ricordiamo che per esigenze legate al rispetto delle normative anti-contagio, la partecipazione sarà riservata ad un massimo di 24 persone.

Info & Iscrizioni:
tel. 0573 308142
mail irene.lauria@isaqconsulting.itpistoiaformazione@confcommercio.ptpo.it

TRATTAMENTO DEI DATI PERSONALI: LE SANZIONI EMESSE NEL 2019

Lo studio di Federprivacy

Un recente studio del gennaio 2020 ha svelato lo stato delle sanzioni irrogate a seguito dell’entrata in vigore del nuovo Regolamento Europeo in materia di dati personali (Reg. UE 679/2016, c.d. GDPR).
Tale studio è stato effettuato da Federprivacy, la principale associazione di categoria italiana, , iscritta nel Registro del Ministero dello Sviluppo Economico ai sensi della Legge 4/2013, il cui principale scopo è quello di radunare e rappresentare tutti i professionisti della privacy e della protezione dei dati.

Gli esiti

Lo studio in questione ha rilevato che nel corso del 2019 sono state 190 le multe comminate dalle autorità per la privacy nell’ Unione Europea per un totale di 410 milioni di euro.

Soprattutto, il Garante italiano è risultata l’autorità più attiva con 30 provvedimenti sanzionatori emessi, per le seguenti infrazioni:

  • nel 44% dei casi per trattamenti illeciti di dati;
  • nel 18% dei casi per insufficienti misure di sicurezza;
  • nel 13% dei casi mancato rispetto dei diritti degli interessati;
  • nel 9% dei casi per omessa o inidonea informativa;
  • nel 9% dei casi per incidenti informatici o altri data breach.

L’ammontare complessivo delle sanzioni irrogate è stato pari a € 4.341.990.

Il settore più colpito è stato quello della P.A. destinatario del 17% del totale delle multe, a seguire quello delle telecomunicazioni, destinatario del 14,7% del totale delle multe emesse.

Si ricorda che il GDPR ha assunto ormai piena efficacia nel territorio europeo da oltre un anno e prevede l’irrogazione di sanzioni amministrative pecuniarie che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dei trasgressori.

Per evitare tali conseguenze, è necessario adeguare la propria struttura (azienda/studio professionale/ente pubblico/associazione …) alle nuove previsioni, intraprendendo un percorso verso la compliance (conformità) normativa.

Nota a cura dell’ Avv. Lavinia Vizzoni

Privacy – Violazione dei dati personali (Data Breach)

Il Garante per la protezione dei dati personali, con provvedimento n. 157 del 30 luglio scorso, pubblicato sul sito dell’Autorità, ha stabilito che i soggetti tenuti alla notifica delle violazioni dei dati personali (Data Breach), nell’adempiere l’obbligo di cui all’art. 33 del Regolamento 679/2016, devono fornire tutte le informazioni contenute nel modello di notifica predisposto e allegato al provvedimento

L’Autorità precisa che l’obbligo di notificare sussiste per tutte le violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica non può, però, includere i dati personali oggetto di violazione; non devono, ad esempio, essere fornite informazioni sui nomi dei soggetti interessati dalla violazione.

Il modello predisposto è particolarmente dettagliato e richiede, in più punti, la descrizione della violazione. Nella Sez. C vengono, infatti, richieste informazioni di sintesi sulla violazione, quali ad esempio la natura, la causa e le categorie dei dati oggetto di violazione; mentre nella Sez. D sono richieste informazioni di dettaglio sull’incidente di sicurezza alla base della violazione, sulla descrizione delle categorie di dati personali oggetto della violazione, nonché sui sistemi e sull’infrastruttura IT coinvolta nell’incidente etc.

Vengono, inoltre, richiesti i dati del soggetto che effettua la notifica, i dati del titolare del trattamento, la data della violazione o di quando il titolare del trattamento è venuto a conoscenza della violazione, i dati di contatto per le informazioni relative alla violazione, se vi sono ulteriori soggetti coinvolti nel trattamento, le possibili conseguenze e gravità della violazione, nonché le misure adottate a seguito della violazione e l’eventuale comunicazione agli interessati etc.

L’Autorità, lo scorso 5 agosto, per agevolare la comprensione della violazione dei dati personali, ha pubblicato sul proprio sito una scheda informativa, in cui vengono forniti esempi di casi che possono ricadere nella violazione dei dati (Data Breach)

L’accesso, l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti dati personali, la deliberata alterazione di dati personali, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus etc, la perdita la distruzione di dati personali a causa di incidenti, eventi avversi, la divulgazione non autorizzata dei dati personali, sono tutti casi riportati dal Garante come esempio di violazione dei dati.

In caso di violazione dei dati il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche. Il regolamento, tuttavia, contempla la possibilità di procedere alla notifica oltre il suddetto termine, purchè vi sia un motivo che giustifichi il ritardo. Il titolare del trattamento, a prescindere dalla notifica, deve documentare tutte le violazioni dei dati personali, predisponendo ad esempio un apposito registro.

Nel chiarire la tipologia di violazione dei dati che devono essere notificate, il Garante precisa che vanno notificate unicamente le violazioni dei dati personali che possono avere effetti negativi sugli individui causando danni fisici, materiali e immateriali. Tra gli esempi forniti il Garante richiama la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

La notifica deve essere, poi, inviata al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa, presentata unitamente alla copia del documento d’identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

Infine, nel caso in cui sia stata rilevata una violazione delle disposizioni del Regolamento stesso, l’Autorità può prescrivere misure correttive (art. 58, paragrafo 2, del Regolamento UE 2016/679). Nel documento informativo il Garante ricorda che il Regolamento comunitario contempla sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo.

GDPR E SANZIONI PRIVACY: DAL 20 MAGGIO FINITO IL PERIODO DI GRAZIA…!!!

Si informa che a partire dal 20 Maggio 2019 è cessato il periodo di grazia per le inadempienze al nuovo regolamento previsto dall’art. 22 del Decreto legislativo 10 agosto 2018, n. 101.

Come previsto dall’articolo, il Garante deve tenere conto nei primi 8 mesi dall’entrata in vigore del decreto – nella comminazione delle sanzioni amministrative – della fase di prima applicazione delle disposizioni sanzionatorie.

Trascorso tale periodo, e quindi a partire dallo scorso 20 Maggio 2019, il Garante potrà applicare le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Le aziende e le PA dovranno pertanto essere pronte a sostenere eventuali controlli o ispezioni da parte del Garante tramite la Guardia di Finanza.

Si ricorda che per la conformità al GDPR, enti ed organizzazioni devono configurare un c.d. «sistema privacy» che si evolve nel tempo, costituito dai seguenti componenti:

1) Registro dei Trattamenti
2) Informative
3) Lettere di Designazione
4) Procedure
5) Registro Data Breach
6) Analisi dei rischi e DPIA Data Protection Impact Assessment