Stefano Faggin

L'11 aprile 2018 si terrà il convegno "Privacy: il nuovo Regolamento Europeo n. 2016/679 GDPR (General Data Protection Regulation)" dell'Ordine dei Dottori Commercialisti e degli Esperti Contabili di Padova, con il coordinamento scientifico della COMMISSIONE DI STUDIO Antiriciclaggio e Privacy dell'ODCEC di Padova e dell'UGDCEC DI PADOVA.

Come Tecsis siamo attivi ormai da tempo nei servizi di sicurezza informatici per la compliance al GDPR e per questo supportiamo ufficialmente questa formazione.

Qui è possibile scaricare il programma ufficiale del corso.

Tags:
Stefano Faggin

Il percorso della PA verso una consapevole gestione dei documenti nativi digitali e delle eventuali copie sostitutive di originali analogici, è tutt'altro che segnato.

Un dato di fatto che si è confermato anche ieri in occasione dell'incontro organizzato dalla Federazione degli Ordini dei Medici e degli Odontoiatri (FNOMCeO) per la presentazione della bozza di modello di "manuale di gestione". 

In questa occasione il gruppo di lavoro, del quale fa parte il Presidente di Tecsis Stefano Faggin insieme ai rappresentanti delle segreterie degli Ordini dei Medici e all'eminente Prof. Ssa Mariella Guercio, ha cercato non solo di fornire un modello di documento, ma affrontare alcune delle tematiche più spinose.

Ne è scaturito un confronto aperto e franco sulla distanza che attualmente esiste tra quello che richiederebbe il quadro normativo e quello che di fatto accade nella quotidianità degli uffici.

Il dato che emerge forte è la grande centralità del personale amministrativo chiamato non solo ad applicare norme ma a padroneggiare tecnicismi informatici spesso troppo lontani dal proprio percorso formativo e vissuto professionale. Formazione e riqualificazione sono quindi due elementi fondamentali e ormai non più procrastinabili.

Un’evidenza che ha colto il nuovo segretario della FNOMCeO, il Dott. Monaco, in chiusura dei lavori della giornata, che si tradurrà presto in una collaborazione con ANAI (Associazione Nazionale Archivistica Italiana), per la realizzazione di alcuni eventi formativi per gli Ordini dei Medici ma che si aprirà poi anche alle altre professioni.

Tutto ciò che riguarda l'applicazione della digitalizzazione è ancora in una fase di studio e, come gruppo, siamo attivamente coinvolti nell'approfondire la materia al fine di proporre modelli e soluzioni coerenti con la norma ma senza dimenticare i principi archivisti che stanno alla base di una corretta gestione e sedimentazione documentale, in un contesto moderno che ruota intorno al protocollo informatico. To be continued…

Sono disponibili i voucher per la digitalizzazione per le PMI italiane. Vediamo cosa sono in tre semplici punti.

1. Cosa sono i Voucher per la digitalizzazione delle PMI

I “voucher digitalizzazione” sono contributi che lo Stato mette a disposizione per le PMI, che possono andare a coprire il 50% delle spese sostenute per modernizzare le infrastrutture tecnologiche dell’organizzazione. L’importo non può essere superiore ai 10.000 €. 

Rientrano infatti tra i costi ammissibili l’acquisto di hardware e software soecialisti che consentano di:

- modernizzare l'organizzazione del lavoro, attraverso l'utilizzo di strumenti tecnologici per rendere il lavoro più flessibile (ad esempio il telelavoro);

- disporre della connettività a banda larga e ultralarga o del collegamento alla rete con la tecnologia satellitare;

- sviluppare soluzioni di e-commerce;- realizzare interventi di formazione del personale nel campo ICT;

- migliorare insomma l’efficienza aziendale.

2. Per chi sono

I voucher possono essere richiesti dalle piccole e medie imprese italiane, con qualsiasi regime contabile, iscritte al registro delle Imprese e dai liberi professionisti o titolari di partita IVA ma solo se iscritti, anche loro, al registro delle Imprese. La semplice iscrizione all’albo professionale non è quindi sufficiente per richiedere l’agevolazione. 

Non possono invece usufruire del Voucher Enti o associazioni anche se registrate presso il REA.

3. Come funzionano

Le domande per richiedere il voucher possono essere presentate dalle ore 10,00 di oggi, 30 gennaio 2018, fino alle 17,00 del 9 febbraio 2018.

Le richieste possono essere fatte esclusivamente online, sul sito del Ministero dello Sviluppo Economico, accendendo nell’apposita sezione “Accoglienza Istanze” e cliccando sulla misura “Voucher per la digitalizzazione”.

Per accedere è richiesto il possesso della Carta Nazionale dei Servizi e di una casella mail PEC.Si fa comunque presente che non è previsto un ordine cronologico per l'attribuzione del voucher. Nel caso in cui le risorse disponibili a livello regionale non siano sufficienti a coprire tutte le richieste pervenute da parte delle organizzazioni, è prevista una procedura di riparto delle risorse finanziarie in proporzione alle richieste delle imprese.

Per un supporto tecnico relativo all’accesso alla procedura informatica e alla compilazione delle istanze scrivere a: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. oppure chiamare al numero 06-64892998.

Cosa cambia nella gestione del nostro CRM aziendale? Ecco come dovremo raccogliere i dati dopo il 25 maggio 2018.

Il GDPR è sempre più alle porte e ogni tipo di organizzazione ne sarà colpita in modo più o meno significativo.

Per vendere, si sa, servono contatti e poco importa se vengano da un biglietto da visita recuperato a una fiera o dall’iscrizione alla newsletter, tutti i dati raccolti vengono diligentemente schedati nel CRM aziendali per poi essere utilizzati per il fine per cui sono stati raccolti: la pubblicità.

Il Regolamento definisce l’attività di profilazione come “l’analisi di dati cui fa seguito un’azione automatica che non richiede l’intervento dell’uomo”.

La tutela dei dati personali è il cuore del nuovo regolamento. Tra tutte le novità che il GDPR propone infatti, ben quattro sono incentrate sui diritti dell’interessato, diritti che escono quindi rafforzati da una riforma che conferisce al singolo utente un controllo maggiore sulla propria privacy, attraverso:

• La necessità di un consenso esplicito al trattamento dei dati personali

• Il diritto di portabilità dei dati da un prestatore di servizi a un altro• Il diritto all’oblio, alla cancellazione e alla rettifica

• Il diritto di obiezione 

• L’accesso facilitato dell’utente ai propri dati personali

Non è però tutto: le nuove informative sul trattamento dei dati fornite dai responsabili del trattamento dovranno essere chiare, complete e comprensibili.

Questo si riflette in primis sull’acquisizione di dati per il reparto marketing/commerciale delle aziende.

Il nuovo testo normativo abbandona l’approccio strettamente formale del passato, basato su una dichiarazione specifica al consenso; il testo della riforma europea lascia spazio invece a un tacito consenso (comportamento concludenti, come ad esempio accettare l’utilizzo del dato “indirizzo” da parte di Amazon affinché spedisca la merce acquistata). 

Per tutti gli altri tipi di trattamenti invece rimane necessaria l’approvazione dell’interessato a un’informativa completa e chiara.

Sarà vietato al contrario l’invio di messaggi a indirizzi presi da elenchi pubblici oppure comprati.

D’obbligo anche il consenso per i contatti acquisiti da elenchi professionali. 

Rifacendosi alla definizione di profilazione del Regolamento quindi, possiamo evincere che l’elaborazione, anche con strumenti informatici, effettuata da una persona (per coordinare e assodare le informazioni prima del loro uso) non rientrano in questa definizione. Ciò non porterebbe pertanto all’obbligo di ottenere un consenso informato.

Il nuovo Regolamento Europeo sulla protezione dei dati personali si basa sul principio dell'Accountability: ma cos'è questa responsabilizzazione?

Alla base del GDPR possiamo collocare il principio dell’accountability (“responsabilizzazione” in italiano), un principio per cui l’intera responsabilità del singolo dato, è sulle spalle di chi quel dato lo richiede, per fini più o meno necessari, e che dovrà non solo essere il più trasparente possibile circa l’utilizzo che ne farà, ma anche garantire la massima protezione, aggiornata in modo continuativo, di tutte le informazioni personali in suo possesso.

All’art. 5 il GDPR individua infatti il Titolare del trattamento, un soggetto che deve garantire il rispetto de principi proposti dalla disciplina di protezione dei dati personali, quali quelli di trasparenza, di liceità, di limitazione delle finalità e della conservazione, correttezza, riservatezza e integrità.

Oltre a dover affermare tutti questi principi, il Titolare del trattamento dovrà poter comprovarli: non sarà sufficiente infatti assicurare di aver attuato misure tecniche e organizzative di protezione, sarà anche necessario poter dimostrare, di fronte a un’autorità competente, quali misure sono state adottate, perché e a seguito di quale analisi.

Questi provvedimenti inoltre dovranno essere sempre aggiornati e monitorati e questi processi dovranno essere supervisionati dalla figura del DPO che però, salvo in casi di comprovato inadempimento, non avrà nessuna responsabilità sull’uso improprio, del furto o di qualunque cosa capiti a questi dati, sarà responsabile solo il Titolare del trattamento.

Cosa cambia quindi dal Codice Privacy? Innanzitutto mentre il Codice prevedeva, nell’Allegato B, delle misure minime di sicurezza, il GDPR non fornisce alcuna indicazione a riguardo e lascia al Titolare l’onere di individuare di volta in volta, quelle adeguate.

Tutto questo riconduce, come dicevamo, al principio cardine del GDPR: l’Accountability.

Un brusco cambio di prospettiva che prevede che tutta la responsabilità di ciò che accadrà ai dati delle persone, sia di chi li detiene per i più svariati scopi. 

Che i dati vengano utilizzati per gestire la salute del cittadino, per fornirgli un servizio da lui richiesto o per mere finalità pubblicitarie, poco importa al Garante: se li richiedi, devi garantire a chi te li dà la massima protezione, aggiornata e monitorata. 

Ormai lo sappiamo infatti: i dati personali sono il nuovo “oro nero” ed è fondamentale che chi voglia ricavare un guadagno da queste informazioni, sia anche responsabile e consapevole di ciò che sta utilizzando. 

I nostri dati siamo noi e per noi ed è giusto quindi pretendere, da chi vuole utilizzare un pezzetto di noi, la massima protezione di tutto ciò che ci riguarda.

Il GDPR è molto chiaro circa il reperimento, da parte di aziende o privati, di dati personali. Ma cosa succede quando questi sono resi pubblici dallo stesso interessato?

“È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Questo è quanto esplicitato dall’art. 9 del GDPR, il Regolamento Europeo sulla protezione dei dati personali.

Ma cosa succede quando i dati online li mettiamo noi?

Su internet infatti è possibili reperire molte informazioni personali di privati, pubblicate dagli stessi su siti internet che offrono particolari servizi (come quelli degli albi professionali ad esempio) e, ancora di più, delle informazioni personali che vengono, più o meno consapevolmente, diffuse sui profili dei social network.

Dobbiamo innanzitutto distinguere il fine per cui questi dati verrebbero utilizzati, oltre al motivo per cui vengono resi pubblici. I contatti reperiti sui siti degli albi professionali infatti sono sicuramente pubblici e, anche se inseriti da terzi, possono essere riutilizzati per fini privati. È vietato invece fruire gli indirizzi mail reperiti in questo modo a scopi pubblicitari.

Le “Linee guida in materia di attività promozionale e contrasto allo spam” hanno appunto affermato l’illegittimità dell’invio di un “messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto “, sulla base della considerazione che la facilità con cui si rintracciano i dati online (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poterli utilizzare per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari.

Volendo riassumere, possiamo dire che nel sistema attuale il riutilizzo delle informazioni personali “pubblicamente accessibili”, ai sensi del Codice Privacy, è consentito a prescindere da un consenso informato dell’interessato:

1. in generale, per usi con finalità coerenti con quelle che ne hanno causato la pubblicazione;

2. con eccezione, invece per casi in cui questo utilizzo sia bilanciato nel contesto dei diritti fondamentali (ad esempio per fini giornalistici).

Tornando alla norma del GDPR, all’art. 9, comma 1, essa dice che i dati, qualora resi manifestamente pubblici dall’interessato, possono essere trattati. Non dice però con quali regole.Particolarmente significativa è perciò la regola generale per cui è possibile il trattamento dei dati personali, a fronte del consenso esplicito per una o più finalità specifiche.Secondo questo principio quindi, possiamo dedurre che l’azione di rendere pubblici i propri dati personali, equivalga a un valido consenso al loro trattamento.

Questo utilizzo ha però dei limiti posti dal GDPR: il trattamento infatti, anche se supportato da una precisa attenuante del consenso e da finalità coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato stesso, può risultare illegittimo qualora, per le modalità con cui il trattamento è realizzato o per gli effetti che produce, rechi un danno sociale all’interessato.
Resta poi indubbiamente salva la possibilità per l’interessato di esercitare il diritto all’opposizione e quello all’oblio.

In definitiva potremmo azzardarci a dire che, se il Garante non darà esplicite direttive future, il Regolamento userà questo aspetto per rafforzare il principio dell’accountability, cioè la responsabilizzazione, rimettendo completamente al titolare del trattamento la responsabilità di un uso troppo invasivo di dati pubblici, accettandone anche le possibili conseguenze.

La Commissione europea si è finalmente espressa sul funzionamento dello scudo UE-USA per la privacy, cha ha il compito di proteggere i dati di cittadini e imprese europee trasferiti negli Usa a fini commerciali.

Ok con riserva della Commissione Europea al Privacy Shield, l’accordo in materia di protezione dati tra UE e USA che, nel 2016, ha sostituito il Safe Harbour.

Il vice presidente della Commissione Andrus Ansip, responsabile del Mercato Unico Digitale, si è confermato sostenitore dello Scudo privacy con gli States, sottolineando l’importanza di creare un regime solido di certificazioni e un’attività di sorveglianza dinamica, per garantire ai consumatori UE i vantaggi dei trasferimenti dati internazionali, con la sicurezza di una valida certificazione.

I trasferimenti transatlantici di dati sono vitali per l’economia europea ma è necessario salvaguardare il diritto fondamentale alla protezione dati personali anche in uscita dall’Ue. Un primo esame della Commissione mostra che lo scudo per la privacy funziona bene ma che esiste un certo margine di miglioramento.

Nel complesso la relazione presentata ieri mostra che il Privacy Shield continua a garantire un adeguato livello di difesa dei dati personali trasferiti dall’Ue alle imprese Usa. Le autorità statunitensi hanno predisposto le strutture e le procedure necessarie a garantire il corretto funzionamento dello scudo, rafforzando anche la collaborazione con le autorità europee. 

La relazione avanza però alcune raccomandazioni volte a garantire continuità di funzionamento, quali:

• un monitoraggio più attivo e regolare del Dipartimento del Commercio degli Stati Uniti per verificare che le imprese rispettino gli obblighi imposti dallo scudo per la privacy; esso dovrebbe inoltre svolgere periodicamente attività di ricerca per reperire le organizzazioni che millantano la partecipazione allo scudo per la privacy;

• la nomina tempestiva di un mediatore del Privacy Shield permanente nonché garantire la copertura dei posti vacanti presso l’Autorità per la tutela della vita privata e delle libertà civili (PCLOB);

• maggiore sensibilizzazione delle persone nell’Ue circa le modalità con cui esercitare i loro diritti fuori dai confini;

• più collaborazione tra i responsabili della privacy, ossia il Dipartimento del Commercio degli USA, la Commissione federale del Commercio e le autorità di protezione dei dati dell’Ue;

• il riconoscimento della tutela per i cittadini non americani previsto sulla riautorizzazione e la riforma della sezione 702 del Foreign Intelligence Surveillance Act (FISA).

La Commissione proseguirà l’opera di monitoraggio dello scudo, compreso il rispetto degli impegni assunti da parte degli Usa, collaborando con le autorità statunitensi per stabilire il seguito da dare alle raccomandazioni.


Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2018 TECSIS S.r.l. All Rights Reserved.

Search