31 dicembre 2099
17 giugno 2019
La prima sanzione del Garante privacy polacco
L’Autorità polacca per la protezione dei dati personali (UODO) ha sanzionato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. Agli interessati è stato così precluso la possibilità di esercitare i diritti loro riconosciuti dal GDPR, tra cui in primis quello di opposizione. La vicenda è meritevole di attenzione poiché la multa di 943.000 zloty polacchi, pari a circa 220.000 euro, non è stata comminata per violazione di una normativa locale, nel caso di specie quella polacca, bensì per mancato rispetto del Regolamento europeo e, in particolare, dell’obbligo di informazione sancito all’art. 14 del testo.
A ben vedere, la società polacca ha adempiuto al predetto obbligo di informazione di cui all’art. 14 del GDPR solo nei confronti delle persone di cui aveva a disposizione gli indirizzi e-mail. Per tutti gli altri soggetti ha ritenuto di poter assolvere detto obbligo informativo tramite un’apposita clausola pubblicata sul proprio sito web. Tuttavia, tale modalità di procedere è stata ritenuta insufficiente dall’Autorità privacy polacca, poiché, la società, al fine di assolvere l’obbligo informativo cui era tenuta, avrebbe dovuto comunicare direttamente agli interessati i loro dati personali, la fonte degli stessi, lo scopo e il periodo del trattamento previsto, nonché i diritti loro spettanti ai sensi del GDPR.
A fronte della difesa svolta dalla società, il Garante polacco privacy nel proprio provvedimento specifica che le disposizioni del regolamento europeo non impongono al titolare del trattamento l’obbligo di inviare agli interessati le informazioni tramite raccomandata, modalità quest’ultima eccepita dalla società e ritenuta troppo onerosa dalla stessa. Nel caso in questione, continua il Garante privacy, la società aveva indirizzi postali e numeri di telefono e poteva quindi attivarsi per rispettare l’obbligo di fornire le informazioni alle persone.
In conclusione, l’UODO ha ritenuto molto grave la condotta punita, tantoché, il cospicuo ammontare della sanzione trova giustificazione non solo nel carattere intenzionale della violazione (la società difatti era a conoscenza dell’obbligo di fornire informazioni in modo diretto alle persone), ma anche nel comportamento per niente collaborativo tenuto successivamente dalla società per porre rimedio all’infrazione.
La prima sanzione del Garante privacy portoghese
Altra rilevante applicazione pratica delle sanzioni GDPR è rappresentata dal caso Hospitalar Barreiro Montijo, dove il Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera.
Nell’aprile 2018, il CNDP eseguiva un’ispezione presso il Centro Hospitalar Barreiro Montijo del distretto di Setúbal in seguito alla segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario avesse accesso ai sistemi informatici della struttura con i poteri propri dell’organico medico.
In sede ispettiva, il CNDP accertava un accesso indiscriminato e ingiustificato di quasi seicento dipendenti ai dati sanitari dei pazienti.Nel sistema venivano verificate infatti 985 utenze attive con profilo di autorizzazione riservato al personale medico, nonostante che detto organico contasse realmente solo 296 professionisti.
Accertata la grave violazione, l’Autorità per la tutela dei dati personali portoghese comminava due distinte sanzioni. L’una da trecentomila euro per il mancato rispetto della confidenzialità e per la mancata limitazione degli accessi ai dati dei soggetti ricoverati, e l’altra da centomila euro per non aver garantito “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32 GDPR).
Vi è di più. Nel corso dell’ispezione eseguita dall’Autorità garante per la privacy relativamente al sistema informatico e di gestione dell’ospedale venivano accertate ulteriori irregolarità. Veniva contestata l’assenza di una procedura di autenticazione degli utenti del sistema informatico e dei relativi profili di accesso, il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale stesso e l’esistenza di molti profili di fatto inattivi collegati a utenti che avevano operato nella struttura ospedaliera in forza di contratti a termine e mai disattivati.
Giunto il momento di determinare l’ammontare della sanzione, il Garante per la privacy portoghese (CNPD) prendeva in considerazione la tipologia di dati coinvolti ossia di tutte le informazioni relative alla salute di pazienti (dati considerati super sensibili), della durata nel tempo della violazione, del numero di interessati coinvolti, della gravità dei danni dagli stessi subìti, nonché della negligenza nell’adozione delle misure organizzative e tecniche da parte della struttura ospedaliera.
Con riguardo a quest’ultimo aspetto, il Garante per la privacy ha ritenuto la violazione dolosa, considerato che il titolare sanzionato aveva consapevolmente collegato i profili di accesso al sistema informativo con profili non corrispondenti. In questo senso, inoltre, la violazione è stata ritenuta ancora più grave a fronte dell’utilizzo di mezzi tecnici come i sistemi gestionali messi a disposizione dal Ministero della Salute, i quali di per sé erano in grado di garantire una corretta identificazione degli utenti e, quindi, una limitazione degli accessi ai dati. Viceversa, anche in tale caso, è stato valutato favorevolmente l’atteggiamento collaborativo del titolare del trattamento volto ad attenuare le conseguenze negative delle violazioni.
La sanzione comminata dal Garante privacy tedesco
Lo scorso 22 novembre 2018, il Garante per la protezione dei dati personali dello Stato di Baden –Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) sanzionava il sito di chat online Knuddels.de (“Coccole”), popolare negli anni 2000 prima dell’avvento di Facebook, al pagamento della multa di circa ventimila euro.
La contestazione mossa dal Garante privacy tedesco ha come oggetto la violazione dell’art. 32 del GDPR, posto che, per carenza di misure adeguate di sicurezza, il sito subiva una perdita di circa due milioni diusername/password e di più di ottocentomila indirizzi e–mail, oltre a recapiti di residenza degli utenti ed altri tipi di dati. In sede di applicazione della multa, nel determinare l’ammontare della stessa, il Garante per la tutela dei dati personali tedesco valutava molto positivamente il comportamento collaborativo adottato da Knuddels,alleviando i rigori sanzionatori che la gravità oggettiva della sanzione avrebbe giustificato nel caso di specie. Accertata la violazione, Knuddelsinfatti provvedeva ad informare immediatamente dell’accaduto i suoi utenti e il Garante privacy (LFDI), apportando modifiche alla sua infrastruttura IT per accrescere il livello di sicurezza.
La sanzione comminata dal Garante privacy austriaco
In Austria, nel mese di ottobre 2018, l’Autorità Garante della Privacy austriaca (Datenschutzbehörde), ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato. Le telecamere erano direzionate su parte del marciapiede esterno al perimetro aziendale, tanto da riprendere i passanti in modo esorbitante, senza alcuna giustificata motivazione e senza idonea informativa rilasciata con apposita cartellonistica. Tutto ciò in violazione dei principi della privacypiù comuni, in quanto venivano ripresi i volti dei passanti senza che essi ne fossero debitamente informati.
GDPR DAY
Cedam srl e ASSINPRO (Assoc.Industriali BAT) sono liete di invitarVi al GDPR DAY.
Convegno:
ad un anno dal GDPR, come è cambiato
l'approccio alla Privacy?
Future
Center Viale Marconi, 39, BarlettaGiovedì 20 giugno 2019 – ore 16.30
Premessa
In seguito all’introduzione del
Regolamento UE 679/2016 abbiamo notato l’atteggiamento morbido adottato
dal Garante che è terminato a distanza di un anno dalla sua
introduzione avvenuta il 25/05/2018. Una specie di periodo di prova che ha
lasciato un po’ di tempo a molti, soprattutto piccole e medie imprese, per capire come adattare il
testo della norma alle operazioni aziendali di tutti i giorni.
Questo momento di calma ha permesso al
Garante di concentrarsi sulle violazioni più gravi. La protezione dei dati non
è infatti un punto di arrivo ma un percorso continuo, fatto di studio e
soprattutto confronto.
Per quanto si possa conoscere alla lettera il testo del Gdpr, metterlo in pratica comporta abilità trasversali.
Per quanto si possa conoscere alla lettera il testo del Gdpr, metterlo in pratica comporta abilità trasversali.
Bisogna conoscere come funziona la tecnologia che si usa in azienda e il suo stato
dell’arte per offrire soluzioni alternative, si deve essere in grado di
relazionarsi con i vari reparti dell’impresa, anche con chi è più lontano da
questi concetti, non si deve mai smettere di studiare e confrontarsi sulle
possibili soluzioni da adottare.
In
linea con tali premesse, si è pensato di organizzare un Convegno
sull’argomento, a cui invitare le Imprese del nostro territorio, affinché
possano condividere le proprie esperienze.
Si
affronterà anche la novità della Certificazione
del Sistema di Gestione della Protezione dei Dati.
Agenda
Agenda
Ore 16.30 | Registrazione dei partecipanti
Ore 17.00 | Apertura lavori
Benvenuto - Ruggiero Cristallo, Presidente ASSINPRO
Le Novità del GDPR per il 2019
Cosa è accaduto nel mondo della privacy negli ultimi 12 mesi, l’evoluzione normativa, le prime decisioni dei garanti europei e gli orientamenti sulle questioni più spinose
La
certificazione in conformità al DPMS 44002:2016© - Massimiliano Angeli, Partner
KHC Certification srl
Ore 18.30 | Interventi dei partecipanti
Ore 19:00 | Conclusioni
Moderatore
dell’Incontro: Francesco Zagaria, Giornalista
La partecipazione al convegno è gratuita ed è
rivolta a tutti coloro che vogliono approfondire questi temi.
15 giugno 2019
Sei preoccupato per il Regolamento UE sulla Privacy (GDPR) ?
Sei preoccupato per il Regolamento UE sulla Privacy (GDPR) ?
Chiamaci e ti dimostriamo come affrontarlo nel migliore dei modi.
Ecco cosa ti proponiamo:
1 Check Up preliminare
2 Realizzazione di un Modello Organizzativo
3 Certificazione del Modello (Facoltativa)
▶️ la ns Soluzione http://advpage.net/1SDN8
Chiamaci e ti dimostriamo come affrontarlo nel migliore dei modi.
Ecco cosa ti proponiamo:
1 Check Up preliminare
2 Realizzazione di un Modello Organizzativo
3 Certificazione del Modello (Facoltativa)
▶️ la ns Soluzione http://advpage.net/1SDN8
Prove Tecniche di Ispezione in Azienda da parte del Garante
Ricordati che i "Dati Sensibili" non esistono più!
Si chiamano "Dati Particolari" dal 25.05.2018.
Dimostra di essere stato attento al Corso sul GDPR. 😉
Si chiamano "Dati Particolari" dal 25.05.2018.
Dimostra di essere stato attento al Corso sul GDPR. 😉
12 giugno 2019
IL GDPR non riguarda le Persone Giuridiche
Siamo stanchi di ripeterlo da oltre un anno:
ai dati delle persone giuridiche non si applicano i principi stabiliti dal regolamento europeo (GDPR).
I dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona giuridica possa vantare alcun diritto sui suoi dati.
Perciò, la persona giuridica non può esercitare i normali diritti previsti per gli interessati, quali il diritto all'accesso, alla rettificazione o alla cancellazione.
ai dati delle persone giuridiche non si applicano i principi stabiliti dal regolamento europeo (GDPR).
I dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona giuridica possa vantare alcun diritto sui suoi dati.
Perciò, la persona giuridica non può esercitare i normali diritti previsti per gli interessati, quali il diritto all'accesso, alla rettificazione o alla cancellazione.
09 giugno 2019
Il GDPR è uno dei Core Business della Divisione Consulting della Cedam.
L'applicazione in azienda del Regolamento UE 679 / 2016 (GDPR) è uno dei Core Business della Divisione Consulting della Cedam.
Ci occupiamo di Protezione dei Dati sin dal 2003 dall'introduzione del D.Lgs.196. e in tutti questi anni abbiamo realizzato un nostro Sistema di Gestione per la Protezione dei Dati in Azienda, sviluppato dai nostri Consulenti di Management e dai colleghi informatici.
Inoltre, completiamo la nostra offerta in ambito Privacy con la certificazione DPMS 44002:2016©, valida ai sensi dell'art.42 del GDPR.
08 giugno 2019
ATTENZIONE nell'affermare di "Rivedere i Processi Aziendali"
CHIARIMENTO:
Quando affermiamo che Il Regolamento Ue 679 / 2016 (GDPR) sulla Privacy ci costringe a rivedere i "Processi Aziendali", non alludiamo ai "Processi" che si svolgono in tribunale....
ma al sistema complesso che regola in azienda: Marketing, Commerciale, Logistica, Amministrazione e Finanza, che coinvolge le attività di tutti i collaboratori e comprende l'utilizzo ottimale delle nuove tecnologie.
La Divisione Consulting della Cedam, chiede scusa agli Imprenditori che avevano frainteso il significato del termine "Processi".
06 giugno 2019
Repetita Iuvant
Ci siamo stancati di ripeterlo:
Ai dati delle persone giuridiche, non si applicano i principi stabiliti dal regolamento europeo 679 / 2016.
I dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona giuridica possa vantare alcun diritto sui suoi dati.
Infatti, la persona giuridica non potrà esercitare i normali diritti previsti per gli interessati, quali il diritto all'accesso, alla rettificazione o alla cancellazione, ecc...
05 giugno 2019
Pronto il Kit Adeguamento Privacy per il 2019
Pronto in Cedam il Kit di adeguamento GDPR 2019. Per contatti:
☎️ 0883 346640 📧 privacy@cedam.it
30 maggio 2019
Garante: NEWSLETTER N. 453 del 30 maggio 2019
NEWSLETTER N. 453 del 30 maggio 2019
• Data breach: Garante, le comunicazioni agli utenti non devono essere generiche
• Telemarketing: dal Garante sì condizionato alla riforma
• Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
• Garante: sì alle nuove regole per il Ced del Viminale
• Telemarketing: dal Garante sì condizionato alla riforma
• Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
• Garante: sì alle nuove regole per il Ced del Viminale
Data breach: Garante, le comunicazioni agli utenti non devono essere generiche
Le informazioni devono consentire alle persone di comprendere i rischi e proteggere i loro dati
Le informazioni devono consentire alle persone di comprendere i rischi e proteggere i loro dati
Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimentoadottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.
La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.
La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.
Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.
In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.
Telemarketing: dal Garante sì condizionato alla riforma
La tutela delle persone deve essere effettiva
La tutela delle persone deve essere effettiva
Si condizionato del Garante privacy al regolamento del Ministero dello sviluppo economico che disciplina le nuove regole per il funzionamento del Registro pubblico delle opposizioni (Rpo). Al Registro possono iscriversi gli utenti che non intendono ricevere offerte promozionali, né sul telefono fisso né sul cellulare, né tramite la posta cartacea.
Il regolamento, che estende la possibilità di iscrivere al Rpo anche i numeri di telefonia mobile e i numeri riservati, o non presenti negli elenchi telefonici pubblici, tiene già conto di alcune delle indicazioni fornite dall’Ufficio del Garante.
L’Autorità, tuttavia, per rendere il regolamento pienamente conforme alla normativa sulla protezione dei dati personali e realmente effettive le garanzie per gli utenti, ha fornito al Mise ulteriori indicazioni.
In primo luogo, il Garante ritiene che sia necessario precisare ulteriormente che l’iscrizione al Registro comporta automaticamente l’opposizione a tutti i trattamenti a fini promozionali, da chiunque effettuati, con la revoca anche dei consensi manifestati in precedenza. Su questo specifico punto il testo va quindi emendato eliminando ogni riferimento alle categorie merceologiche degli operatori che potrebbero generare dubbi interpretativi e alimentare il contenzioso.
L’Autorità chiede, inoltre, di valutare l’opportunità che nel Rpo possano confluire tutti gli indirizzi postali indicati dai contraenti, anche quelli non presenti negli elenchi telefonici. Per quanto riguarda poi la possibilità di revoca “selettiva” dell’opposizione al trattamento nei confronti di uno o più operatori di categorie merceologiche l’Autorità ritiene che questa procedura possa rivelarsi una “ipotesi residuale”. E ’prevedibile, infatti, che la revoca verrà, nella maggior parte dei casi, esercitata più facilmente manifestando il consenso, di volta in volta, alla singola società.
Anche per tale ragione, la gestione delle categorie merceologiche potrebbe risultare di difficile applicazione. Se si considera poi, che gli operatori (ad esempio, le piattaforme di e-commerce) svolgono attività riconducibili anche a più categorie merceologiche, la soluzione prospettata - per poter essere utilmente applicata a tutela dei diritti e degli interessi - dovrebbe, in teoria, consentire ai contraenti di revocare l’opposizione non solo riguardo all’attività dell’operatore, ma anche per singole campagne promozionali. Il Garante, infine, per rendere più esplicito l’obbligo della norma ed evitare comportamenti non corretti, suggerisce al Mise di prevedere in caso di illeciti, una responsabilità della società “non derogabile contrattualmente in concorso o in solido” con i call center che hanno effettuato la chiamata promozionale.
Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
Il Garante privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.
La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.
La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.
La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.
22 maggio 2019
Arrivano le prime sanzioni del Garante
Cosa devono fare le Aziende dopo i primi provvedimenti sanzionatori da parte dei Garanti Europei?
La risposta è la più semplice. Le aziende devono celermente far tesoro di tali provvedimenti. Devono altresì sentire e far proprio il concetto di Accountability, ossia, in parole semplici, avere la consapevolezza della necessità dell’esistenza di una giustificazione in ogni scelta e decisione compiuta; avere altresì la giusta accortezza, accompagnata da un razionale senso di preoccupazione, nell’adeguarsi prima possibile alle migliori prassi operative e di sicurezza e nell’adottare i provvedimenti più idonei ed opportuni.
Uno dei provvedimenti riguardava il problema della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, forse per mancanza di tempo o per la poca attenzione alla materia della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo l’esposizione di cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza attivo.
Altra sanzione riguarda il grosso errore di conservare la password di un account in chiaro all’interno dei database aziendali, senza l’utilizzo di sistemi di cifratura. Le aziende italiane dovrebbero essere ogni giorno più consapevoli e attente; anche l’adozione di una politica per la gestione del data breach (incidente informatico) non accompagnata da un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach, è una cattiva abitudine assai ricorrente e gradualmente da eliminare.
Tutti questi esempi devono rappresentare un monito per tutte le aziende che trattano dati personali di utenti residenti nono solo in Italia ma anche nei diversi Stati membri. Basti pensare ai fornitori di servizi, ai negozi online, e alle imprese che hanno scambi commerciali rilevanti con altri Paesi; tutti questi soggetti dovrebbero prestare la massima attenzione alle disposizioni previste dal GDPR.
La risposta è la più semplice. Le aziende devono celermente far tesoro di tali provvedimenti. Devono altresì sentire e far proprio il concetto di Accountability, ossia, in parole semplici, avere la consapevolezza della necessità dell’esistenza di una giustificazione in ogni scelta e decisione compiuta; avere altresì la giusta accortezza, accompagnata da un razionale senso di preoccupazione, nell’adeguarsi prima possibile alle migliori prassi operative e di sicurezza e nell’adottare i provvedimenti più idonei ed opportuni.
Uno dei provvedimenti riguardava il problema della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, forse per mancanza di tempo o per la poca attenzione alla materia della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo l’esposizione di cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza attivo.
Altra sanzione riguarda il grosso errore di conservare la password di un account in chiaro all’interno dei database aziendali, senza l’utilizzo di sistemi di cifratura. Le aziende italiane dovrebbero essere ogni giorno più consapevoli e attente; anche l’adozione di una politica per la gestione del data breach (incidente informatico) non accompagnata da un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach, è una cattiva abitudine assai ricorrente e gradualmente da eliminare.
Tutti questi esempi devono rappresentare un monito per tutte le aziende che trattano dati personali di utenti residenti nono solo in Italia ma anche nei diversi Stati membri. Basti pensare ai fornitori di servizi, ai negozi online, e alle imprese che hanno scambi commerciali rilevanti con altri Paesi; tutti questi soggetti dovrebbero prestare la massima attenzione alle disposizioni previste dal GDPR.
18 maggio 2019
Le Policy Aziendali sono al centro dell'attenzione in caso di ispezioni
Per essere "GDPR Compliance" non devi comprare un semplice software che stampi informative, ma scrivere Policy Aziendali (Regolamenti e Procedure) e controllare che vengano rispettate. Contattaci per info:
☎️ 0883 346640 📧 privacy@cedam.it
☎️ 0883 346640 📧 privacy@cedam.it
30 aprile 2019
Bilancio dell'attività Ispettiva del Garante nel 2018
Se il Garante della Privacy si quotasse in Borsa, io correrei a comprarne le azioni.
GDPR, tra qualche settimana scade il periodo di "tolleranza" del Garante, urgente mettersi in regola.
GDPR, tra qualche settimana scade il periodo di "tolleranza" del Garante, urgente mettersi in regola.
A maggio 2019 termina la flessibilità da parte del Garante della Privacy nella valutazione di adeguamento al GDPR. In vista di questa data le imprese che non l'abbiano ancora fatto è bene che si adeguino.
L’8 settembre scorso è stato emanato il D.Lgs. 101/2018, entrato in vigore il 19 settembre, che contiene Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Data la complessità della materia e le modifiche apportate alla precedente normativa, l’Italia ha voluto alleggerire l’imposizione nei primi otto mesi di decorrenza dello stesso decreto.
Il legislatore italiano ha sostanzialmente obbligato l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso. In caso di controllo, dunque, le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento.
L’8 settembre scorso è stato emanato il D.Lgs. 101/2018, entrato in vigore il 19 settembre, che contiene Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Data la complessità della materia e le modifiche apportate alla precedente normativa, l’Italia ha voluto alleggerire l’imposizione nei primi otto mesi di decorrenza dello stesso decreto.
Il legislatore italiano ha sostanzialmente obbligato l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso. In caso di controllo, dunque, le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento.
Questo periodo di "tolleranza" sta per scadere, e ciò vuol dire che ormai tutte le aziende, nessuna esclusa, devono essere in regola con la documentazione privacy e devono mobilitarsi al fine di rispettare le nuove disposizioni sancite dal legislatore Italiano.
Da maggio 2019 in poi, quindi, le aziende non avranno più modo di giustificare ritardi nella corretta applicazione normativa, dato che, comunque, è già dal 2016 che le aziende avrebbero dovuto iniziare a regolarizzare le loro posizioni rispetto al GDPR.
Le aziende devono comunque impegnarsi e non distogliere l’attenzione dagli obiettivi della nuova privacy, poiché gli adempimenti sono parecchi e alcuni possono richiedere anche dispendiose energie, è meglio approfittare e non farsi cogliere impreparati.
Cedam srl assiste le imprese con un Servizio Privacy, modulato nei costi e negli adempimenti a seconda delle diverse realtà aziendali. Per Contatti:
☎️ 0883 346640 📧 privacy@cedam.it
☎️ 0883 346640 📧 privacy@cedam.it
Garante privacy sanziona società: 2 milioni di euro per telemarketing indesiderato
Dalla Newsletter del Garante del 30/05/2019
Il Garante privacy ha comminato una sanzione di oltre 2 milioni di euro ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.
La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.
La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.
La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.
29 aprile 2019
Iscriviti a:
Post (Atom)