Partono i controlli sull’attuazione da parte delle aziende e dei professionisti del regolamento GDPR, il Regolamento Generale sulla Protezione dei Dati. La Deliberazione del 6 febbraio 2020, sancisce l’attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza. In questo post vedremo come avvengono i controlli relativi alle norme sulla privacy e come prepararsi, quali sono le aziende soggette agli accertamenti ispettivi e quali sono i documenti maggiormente richiesti.

Come avvengono i controlli GDPR

Gli accertamenti ispettivi sono condotti dal Nucleo Speciale Privacy della Guardia di Finanza e, nei casi più gravi, da funzionari del Garante i quali procedono personalmente alle ispezioni. Le ispezioni possono essere annunciate tramite comunicazione a mezzo PEC, spesso il giorno prima dell’ispezione stessa, ma possono anche avvenire a sorpresa. Per questo motivo è opportuno individuare i soggetti preposti alla gestione degli ispettori.
Le attività ispettive possono scaturire sia a seguito di una segnalazione da parte di uno o più soggetti interessati, o d’ufficio, su iniziativa del Garante. Durante suddetti controlli verrà richiesto di comprovare l’accountability, ossia dimostrare di aver attuato misure opportune, efficaci e adeguate per salvaguardare i dati personali trattati. In fase di controllo del Garante, infatti, l’azienda deve saper dimostrare, in maniera logica e documentata, quanto fatto per adempiere alla normativa sulla protezione dei dati personali.

Come prepararsi ai controlli GDPR

È segno di “accountability” che le figure aziendali deputate a relazionarsi con gli ispettori siano pronte al momento dei controlli GDPR, che in genere durano tra i 2 e i 3 giorni. I soggetti in questione saranno: 

• il titolare del trattamento dati, che di solito è il legale rappresentante dell’azienda; 
• il DPO (Data protection officer) ove nominato;
• ove presente, si può richiedere l’assistenza del proprio consulente di fiducia in materia di privacy.

Ecco alcuni consigli pratici per affrontare al meglio un’eventuale ispezione:

• prendere nota di tutti i documenti visionati dagli ispettori, compresi banche dati, archivi, sistemi informatici;
• segnare tutte le informazioni richieste e fornite;
• farsi rilasciare una copia del verbale d’ispezione.

I documenti richiesti

In un articolo precedente, abbiamo affrontato il tema dei documenti da produrre per la GDPR. Durante un’ispezione privacy vengono, in genere, richiesti i seguenti documenti:

• registro dei trattamenti
• informative
• formazione (attestati, programmi e test di verifica)
• procedura di gestione del data breach
• nomine dei responsabili esterni del trattamento dati
• nomina del DPO, se nominato;
• DPIA (Data protection impact assessment), se effettuata;
• in caso di mancata nomina del DPO o di non effettuazione del DPIA, l’accountability sta nel  motivare perché non siano stati fatti questi due adempimenti

Sanzioni

Nel 2019 le sanzioni legate alle violazioni del GDPR hanno sfiorato i 16 milioni di euro. L’ammontare della multa è calcolato in percentuale rispetto al fatturato globale annuo mondiale di chi tratta i dati e colpiscono anche le grandi piattaforme e società nordamericane che trattano i dati degli europei. Infatti, il regolamento GDPR viene applicato anche a società che non hanno sede in Unione Europea. Le sanzioni terranno conto dei seguenti fattori:

• della natura, della gravità e della durata della violazione;
• delle finalità del trattamento;
• del numero di interessati lesi;
• del livello del danno;
• della natura colposa o dolosa della violazione.

Le violazioni si dividono in due macro categorie. Esse comprendono:

• i nuovi adempimenti in materia di accountability e di sicurezza dei dati (DPO, valutazione d’impatto, data breach) con sanzioni fino a 10 milioni di Euro o il 2% del fatturato.
• la violazione dei diritti dell’interessato (i principi base del trattamento e i trasferimenti dei dati all’estero) con sanzioni fino a 20 milioni di Euro o il 4% del fatturato mondiale annuo dell’impresa.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista dei controlli GDPR, in particolare per dotarvi delle procedure e prassi necessarie a dimostrare “accountability”. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.

La corretta redazione del DVR è una delle azioni fondamentali che, secondo le normative vigenti, il datore di lavoro deve compiere in materia di salute e sicurezza sul lavoro. In un precedente articolo abbiamo parlato di che cosa sia il Documento di Valutazione del Rischio, di quali siano le leggi che ne regolano l’utilizzo e del perché sia importante redigerlo in modo preciso. Oggi invece vogliamo parlarvi delle modalità e delle regole da seguire quando si elabora il DVR.  

Di cosa si ha bisogno prima della redazione del DVR?

Prima di tutto il DVR ha bisogno di un’attenta analisi dell’ambiente di lavoro nella sua totalità. In particolare si vanno ad indagare gli aspetti strutturali e le condizioni ambientali, ma anche le attività e le mansioni che i lavoratori svolgono e le attrezzature che essi utilizzano.  I dati acquisiti durante l’indagine preliminare vengono poi a loro volta analizzati e si procede con l’individuazione di possibili fonti di pericolo.

Con quali criteri si valuta il rischio per ogni possibile fonte?

La valutazione del rischio può essere espressa con un criterio di Probabilità/Gravità. Si definisce la probabilità che quell’evento possa accadere e se ne valuta la gravità qualora accadesse. Per adempiere a questo compito esistono delle procedure standardizzate proposte dal Ministero del Lavoro da utilizzare come guida per la compilazione del DVR. È importante ricordare che all’interno del DVR dovranno comparire inoltre tutte le misure di prevenzione e protezione messe in atto dall’azienda a seguito della valutazione del rischio.

Quando si deve compilare?

Il datore di lavoro è tenuto ad effettuare immediatamente la valutazione dei rischi e ad elaborare il relativo documento entro 90 giorni dalla data di inizio della propria attività. Per dimostrare di aver effettuato immediatamente la valutazione dei rischi è comunque opportuno predisporre il DVR prima dell’inizio attività.

Il DVR ha una scadenza?

No, il documento di valutazione dei rischi non ha una scadenza. Deve però essere aggiornato entro 30 giorni a seguito di:

• Variazioni significative del processo produttivo o dell’organizzazione aziendale;
• infortuni e quasi-infortuni;
• necessità evidenziate dai risultati della sorveglianza sanitaria o da indagini tecniche di rischio.

Siamo a disposizione per affiancare le aziende nella redazione del documento di valutazione del rischio a partire dall’analisi iniziale fino all’assunzione dell’incarico di RSPP e alla formazione delle altre figure previste dalla legge. Per ulteriori informazioni contattaci. Ci trovi ad Arzignano in provincia di Vicenza.

Questa settimana scocca l'ora X per GDPR. Da venerdì 25 maggio, infatti, in tutta l'UE entra in vigore il nuovo regolamento sul trattamento dei dati personali. Ne abbiamo parlato ampiamente in questi ultimi mesi, ma molte aziende (vicentine e non solo) hanno ancora dubbi da chiarire sull'argomento. Per questo riprendiamo la rubrica "GDPR in pratica" con cui prendiamo in esame i problemi concreti delle imprese. Nell'ultimo post avevamo parlato dei più comuni tipi di trattamento. Oggi vi forniamo la lista dei documenti da produrre e un riassunto sulle figure fondamentali previste da GDPR.

Cliccando qui potrete scaricare inoltre una check list con cui verificare se siete pronti a GDPR.

I documenti da produrre

• Informative sul trattamento (clienti, dipendenti, fornitori);
• Consensi al trattamento (dipendenti - clienti, se il trattamento è a fini pubblicitari);
• Nomine per gli incaricati;
• Registro dei trattamenti: non è obbligatorio, ma utile a gestire gli adempimenti. Nonché a dimostrare organizzazione ed efficacia delle procedure di trattamento e protezione;
• Registro per i responsabili esterni;
• Gestione data breach - registro della violazioni;
• Consigliato: regolamento interno di comportamento in relazione all'uso degli strumenti informatici (si possono usare per scopi personali? Per ogni cosa? Si possono installare software? Si possono scaricare dati?);
• Consigliato: Procedure su uso intertet, misure di sicurezza, uso corretto dei dispositivi, di archiviazione cartacea, ecc.

Le figure della privacy

GDPR prevede che il titolare del trattamento (persona fisica o giuridica) individui soggetti che collaborano alla gestione dei dati.

• Il responsabile del trattamento (ART. 28). Ove nominato, è definito come la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento; deve presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento.
• Se sono stati stipulati contratti con fornitori esterni che trattano dati per conto dell'azienda o se l'impresa usufruisce di servizi esterni (es. IT, gestione dipendenti per la sicurezza e per le buste paga, dichiarazione redditi, ecc.) è opportuno che il titolare del trattamento stipuli un contratto scritto con i c.d. responsabili esterni del trattamento.
• Gli incaricati al trattamento, cioè dipendenti e collaboratori che compiono operazioni di trattamento, operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. Il Regolamento, pur affrontando solo indirettamente la definizione degli “incaricati”, conferma di designare per iscritto gli incaricati ed individuare puntualmente, con apposito mansionario sempre scritto, l'ambito di trattamento consentito per ogni singolo incaricato o per ufficio. Ogni incaricato al trattamento riceve dal titolare le credenziali di autenticazione per l'accesso agli strumenti informatici.

Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy in vista della scadenza del 25 maggio 2018 e ad indicarvi la modalità per dotarvi dei documenti da produrre. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.