La nostra offerta

PIANO OPERATIVO

 

CONSULENZA ADEGUAMENTO PRIVACY – CONFORMITA’ GDPR REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.UE 2016/679)

Il contratto di assistenza privacy si articola in diverse fasi volte a garantire alla Vs. azienda un servizio di consulenza per tutto l’arco della durata del contratto, attraverso il sostegno di uno o più tecnici a Voi dedicati che Vi seguiranno sia direttamente presso la Vs. sede, attraverso alcune uscite come specificato nell’offerta commerciale riepilogativa delle condizioni economiche applicate allegata, sia attraverso il lavoro in ufficio e l’assistenza telefonica o telematica ( es. mail ).

Consulenza Privacy | Modello organizzativo Sicurezza Privacy (MOSP) | Workflow Privacy

  • Studio della realtà aziendale;
  • Redazione di un Modello Organizzativo Privacy e di un Workflow dei trattamenti privacy;
  • Aggiornamento informative ai sensi degli art. 13/14 del Regolamento (UE) 2016/679;
  • Mappatura misure di sicurezza ex art. 32 GDPR
  • Informazione sui possibili rischi connessi alla non applicazione della legge;
  • Consegna

 

Privacy | Ruoli e Responsabilità interni e esterni

  • Aggiornamento individuazione responsabili esterni ai sensi degli art. 28 del Regolamento (UE) 2016/679;
  • Aggiornamento individuazione delegati privacy interni ed incaricati ai sensi degli art. 29 del Regolamento (UE) 2016/679;
  • Individuazione e nomina Amministratori di Sistema;
  • Eventuale individuazione del Responsabile della Protezione dei Dati (RPD | DPO) | Data Protection Officer e predisposizione nomina ai sensi degli artt. 37 – 38 – 39 Reg. (UE) 2016/679.
  • Redazione e aggiornamento organigramma Privacy interno

 

Registro delle attività del Titolare del Trattamento:

Ai sensi dell’art.30 c. 1 del Regolamento generale sulla Protezione dei dati (Regolamento (UE) 2016/679 verrà strutturato e reso disponibile un elenco in formato elettronico o cartaceo dei trattamenti del Titolare svolte sotto la propria responsabilità e, ove applicabile del suo rappresentante.

 

Nel caso in cui si richieda invece un documento attraverso un tool in web application o locale su client, Vi verrà predisposta apposita offerta.

 

Registro delle attività del Responsabile del Trattamento:

Ai sensi dell’art.30 c. 2 del Regolamento generale sulla Protezione dei dati (Regolamento (UE) 2016/679 verrà strutturato e reso disponibile un elenco in formato elettronico o cartaceo dei trattamenti del Responsabile svolte per conto del Titolare e, ove applicabile del suo rappresentante.

 

Nel caso in cui si richieda invece un documento attraverso un tool in web application, Vi verrà predisposta apposita offerta.

 

Redazione di procedura Violazione dei dati personali e registrazione eventi | Data Breach

Gli artt. 33 e 34 del Regolamento (UE) 2016/679 GDPR richiedono che il Titolare del trattamento debba gestire correttamente i casi di violazione di dati personali e che debba – art. 33 c. 5 GDPR – documentare qualsiasi violazione di dati personali con i relativi provvedimenti. Verrà quindi predisposta una policy di data breach che permetta di coinvolgere le funzioni responsabili del trattamento ed se istituito il servizio di DPO e istituito un registro per la registrazione degli eventi.

 

Predisposizione policy sulla conservazione dei dati | Data Retention Policy

Ai sensi degli Art. 5,13,14 del Regolamento (UE) 2016/679 verrà redatta una policy sui tempi di conservazione dei dati diversificata per tipologie di trattamento

 

Privacy Impact Assessment | Valutazione d’impatto (art. 35 GDPR)

Redazione di una valutazione di impatto per i trattamenti ricadenti nella disciplina dell’art. 35 del Regolamento Privacy UE e ricompresi nell’elenco delle tipologie di trattamento soggette e pubblicate dall’Autorità di controllo (in fase di pubblicazione).

Il documento è obbligatorio quando i trattamenti riguarderanno nuove tecnologie e presenteranno rischi elevati per gli interessati in relazione alla natura, il campo di applicazione, il contesto e finalità di trattamento, per i diritti e le libertà delle persone fisiche.

 

Consulenza sul provvedimento del Garante Privacy sugli Amministratori di Sistema Informatici (AdS) Al fine di applicare il Provvedimento del Garante Privacy del 27 Novembre 2008 (G.U. n. 300 del 24 dicembre 2008, così modificato in base al provvedimento del 25 giugno 2009 G.U. n. 149 del 30 giugno 2009) la ns. consulenza prevede:

 

  • Consulenza nell’individuazione degli Amministratori di Sistema interni ed esterni alla Vostra struttura e valutazione dei requisiti;
  • Predisposizione nomine degli Amministratori di Sistema e/o manutentori occasionali e/o /Responsabili del trattamento;
  • Linee guida per la verifica annuale degli Amministratori di Sistema;
  • Predisposizione dell’elenco degli Amministratori di Sistema e indicazioni su come renderlo noto ai dipendenti;
  • Indicazioni circa la registrazione dei file di log degli accessi degli Amministratori di Sistema, ove obbligatorio.

 

Stesura/Adeguamento del regolamento sul corretto utilizzo degli Strumenti Informatici aziendali ai sensi delle linee guida del Garante privacy per posta elettronica e internet | G.U. n. 58 del 10 marzo 2007) e art. 4 della L. 300/70 come modificato dal D. lgs. 151/2015 (“Jobs act”)

 

  • Stesura/aggiornamento del Regolamento interno per l’utilizzazione di strumenti aziendali (computer, posta elettronica, internet, mobile device) ai sensi del provvedimento del Garante del 1° marzo 2007 e alla luce del art. 4 della L. 300/70 come modificato dal D. lgs. 151/2015 (“Jobs act”) e dell’Opinion 2/2017 WP29 | “on data processing at work”.

 

Consulenza sul provvedimento del Garante Privacy in tema di videosorveglianza del 08 aprile 2010 pubblicato sulla Gazzetta Ufficiale n° 99 il 29 aprile 2010 e art. 4 della L. 300/70 come modificato dal D. lgs. 151/2015 (“Jobs act”)

  • Predisposizione e fornitura della documentazione necessaria per la messa a norma rispetto agli adempimenti del Provvedimento dell’aprile 2010 dell’Autorità Garante Privacy sulla Videosorveglianza anche alla luce del art. 4 della L. 300/70 come modificato dal D. lgs. 151/2015 (“Jobs act”)

Verifica Sito Internet e Consulenza ai sensi del Provvedimento del Garante Privacy sui cookies

  • Verifica, attraverso la predisposizione di informative art. 13 T.U. (privacy policy) e consensi, del corretto utilizzo e della corretta gestione del trattamento dei flussi di dati raccolti attraverso il sito web
  • Consulenza ai sensi del Provvedimento del Garante Privacy: Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014); Chiarimenti in merito all’attuazione della normativa in materia di cookie; Infografica 10 giugno 2015
  • Predisposizione di apposita informativa estesa sui cookies sulla base dei Cookies da Voi utilizzati e a noi comunicati attraverso consulenza del vs. tecnico web, per inserimento sul Sito Web (Cookies policy)
  • Predisposizione di informativa breve (banner) sui cookies, ove necessario
  • Istruzioni per vs. tecnico web circa modalità consenso e opt-in per invio cookies

 

Marketing e comunicazioni

  • Verifica e aggiornamento dei Vs. documenti rispetto ai trattamenti da Voi effettuati in materia di Marketing, in riferimento alle Linee Guida del Garante privacy in relazione ad attività promozionali e contrasto allo Spam del 04 luglio 2013 (Gazzetta Ufficiale nr. 174 del 26/07/2013), e Provvedimento del Garante su consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto – 15 maggio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013) e successivi
  • Consulenza su piattaforme in Cloud per servizio di invio newsletter e comunicazioni commerciali

 

Aggiornamento Normativo in materia di Privacy

  • Invio delle informative relative agli aggiornamenti legislativi e a nuove misure adottate dal Garante Privacy.

 

Consulenza Privacy

  • Consulenza Privacy telefonica e/o e-mail al Referente Privacy o al DPO della Vs. struttura su eventuali richieste pervenute all’azienda in merito all’accesso ai dati degli interessati ed in generale per tematiche Privacy o data

 

SERVIZIO RPD | DPO

Il Responsabile della protezione dei dati dovrà ottemperare a quanto previsto nel regolamento UE in epigrafe ed in dettaglio:

1.       informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

2.       verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;

3.       fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

4.       fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;

5.       fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Modalità di svolgimento dell’attività:

1)       sarà effettuato on site almeno un audit interno.

2)       verrà garantita la reperibilità tutti i giorni sabato e domenica compresi: telefonica dalle ore 9 alle ore 18, via mail 24/24, via Skype dalle 16 alle 18, verrà realizzato apposito gruppo WhatsApp per risposte istantanee. (in base alle modalità di contatto le risposte potranno essere istantanee e comunque al massimo entro le 24 ore, salvo che le stesse non richiedano un quesito al garante, nel qual caso la predisposizione del quesito è garantita entro 48 ore, la risposta seguirà i tempi del garante stesso)

PRESTAZIONI DEL COMMITTENTE

Al fine della buona riuscita dell’intervento consulenziale si rende necessario garantire, da parte del Committente, le seguenti attività:

  • La programmazione, il coordinamento degli incontri e dei sopralluoghi ivi compreso il rispetto del calendario degli stessi;
  • La presenza delle figure individuate in occasione delle riunioni e degli incontri programmati;
  • La sollecita fornitura della documentazione richiesta necessaria per avere un quadro preciso, esaustivo e completo dell’Azienda in termini sia organizzativi che tecnico/impiantistici;
  • Il pronto riscontro sulla documentazione predisposta ai fini della rapida revisione ed approvazione della stessa da parte delle funzioni preposte;
  • La corretta implementazione delle procedure e delle istruzioni messe a punto nonché la corretta registrazione delle attività svolte in accordo alla documentazione predisposta;
  • La tempestiva segnalazione di qualunque osservazione, dubbio o difficoltà riscontrati nell’implementazione del

 

SANZIONI PRIVACY

L’art. 83 GDPR, rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, elenca i criteri che le singole Autorità di controllo dovranno applicare al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissarne l’ammontare.

 

Lo stesso articolo individua due classi di violazioni:

Comma 4: fino a 10 MIL € o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per la violazione dei seguenti obblighi:

 

Gli obblighi del Titolare del trattamento e del Responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39,

42 e 43 (es. violazione dell’obbligo di tenuta registro dei trattamenti, mancata valutazione di impatto DPIA; omessa consultazione preventiva Autorità di controllo, omessa notifica data breach);

Gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; Gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.

 

Commi 5 e 6: fino a 20 MIL € o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore per la violazione dei seguenti obblighi:

 

I principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 (es. principi di liceità, correttezza e trasparenza, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, diritto di revoca del consenso);

I diritti degli interessati a norma degli articoli da 12 a 22 (es. diritti di accesso, rettifica, cancellazione, portabilità dei dati, opposizione);

I trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

Qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

L’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

 

In merito alle altre sanzioni, tra cui le sanzioni penali, l’art 84 GDPR attribuisce delega agli Stati membri all’adozione di tutti i provvedimenti necessari per assicurarne l’applicazione. Sino a nuovi provvedimenti legislativi, restano in vigore le sanzioni penali previste dal Codice privacy (d.lgs. 196/03).

 

TEAM DEDICATO

Dott. Corrado Faletti, esperto di normativa e tecnologia, Avv Andrea Caristi esperto di Privacy e web identity, Roberto De Duro esperto di Cyber Security, Dott. Fabio Zafferri specialista in sistemi software, Rossella De Cosmo, analista funzionale, come da CV allegati.

 

 

CLAUSOLE AGGIUNTIVE

  • – I documenti predisposti da SERVIZI E SUPPORTI si basano sulla normativa vigente e sulle informazioni ricevute nel corso delle uscite previste e/o di contatti telefonici tra le par ti. Il CLIENTE si impegna, dunque, a fornire a SERVIZI E SUPPORTI informazioni veritiere e
  • – Il CLIENTE si impegna a comunicare tempestivamente a SERVIZI E SUPPORTI eventuali variazioni della compagine aziendale e/o qualsiasi altra informazione inerente a nuovi o diversi trattamenti di dati personali che dovessero intervenire (a titolo esemplificativo, si pensi all’ipotesi della messa online di un nuovo sito internet, del lancio di un nuovo evento, dell’installazione di un impianto di videosorveglianza,  dell’installazione di un sistema di rilevazione delle presenze mediante impronta biometrica, della partecipazione ad una fiera con raccolta di dati personali, ).
  • – La passività massima che la Società (inclusi soci, dipendenti, consulenti e sub -contraenti) potrà sostenere a seguito di  eventuali Vostre pretese in relazione all’incarico oggetto della presente proposta e   per danni derivanti da inadempimento contrattuale o per responsabilità extracontrattuale, sarà limitata al danno emergente e, in ogni caso, non potrà complessivamente eccedere il doppio dell’importo da Voi corrisposto per l’esecuzione della specifica parte di attività la cui esecuzione abbia dato origine alla responsabilità della ns. Società, salvo i casi in cui proviate il dolo o la co lpa grave della Società medesima.
  • – Il mancato pagamento da parte del CLIENTE costituisce sempre un inadempimento di grave importanza, avuto riguardo all’interesse di SERVIZI E SUPPORTI, ai sensi e per gli effetti dell’art. 1455 Codice
  • – Il presente Contratto è regolato dalla Legge italiana. Il Foro di Macerata sarà competente esclusivo per ogni eventuale controversia, salvi gli inderogabili limiti di
  • – Gli Oneri per la Sicurezza (Formazione, DPI, Istruzioni Operative) sono compresi nell’impo rto e definiti nell’ordine del 3%, fatte salve specifiche
  • – La disdetta di eventuali uscite su appuntamento deve avvenire almeno 48 ore prima dell’incontro. In caso contrario, al CLIENTE saranno addebitati € 100,00.
  • – In caso di verifica da parte degli Enti Accertatori presso la sede del CLIENTE, il costo a giornata della consulenza da parte di SERVIZI E SUPPORTI ammonta ad € 000,00.
  • – Nel caso in cui il CLIENTE dovesse richiedere a SERVIZI E SUPPORTI una o  più uscite  ulteriori rispetto a  quelle previste nel presente Contratto (a titolo esemplificativo, si pensi all’ipotesi del lancio di un nuovo  evento particolare che preveda una raccolta di dati sensibili, ) e/o nel caso in cui dovessero rendersi necessarie, su segnalazione motivata di SERVIZI E SUPPORTI (a titolo esemplificativo, si  pensi all’ipotesi in cui  nel corso di una uscita un tecnico SERVIZI E SUPPORTI rilevi l’avvenuta installazione di un impianto di videosorveglianza non conforme alle prescrizione del Garante  per la protezione dei  dati perso nali, ecc.) una o più uscite ulteriori, verrà predisposta apposita offerta integrativa.
  • – Nel caso in cui dovessero intervenire variazioni normative sostanziali, SERVIZI E SUPPORTI potrà predisporre apposita offerta
  • – Il presente Contratto non comprende la traduzione in inglese (fatta eccezione per l’eventuale redazione e consegna su richiesta di informative per la messa a norma del Sito Internet e le nomine a responsabile).