• +02 8739 6605
  • info@eps-italia.com

Tag Archives: privacy

Il registro dei trattamenti non basta

Redigere il registro dei trattamenti o riscrivere le lettere di consenso non basta per gestire il GDPR, come purtroppo spesso si sente proporre, minimizzando la problematica e riducendola ad una semplice compilazione.

Per rendere efficace la protezione dal rischio di sanzioni, la soluzione é una gestione dimostrabile, tracciata e soprattutto completa di tutto quanto richiesto nel GDPR, ma questo implica diverse attività  e competenze multidisciplinari non comuni (legali, normative, tecnico e sistemistiche, sulla sicurezza dei dati, sugli aspetti organizzativi, sulle specifiche casistiche della privacy) ed adeguati strumenti di supporto.

Si devono poi gestire le valutazioni di impatto, le valutazioni dei rischi, le attività  di allineamento degli asset con il livello di privacy richiesto dai dati trattati, verificare l’applicazione delle regole di sicurezza, avere un adeguato supporto specialistico basato su una esperienza effettiva e consistente (DPO) per le valutazioni di adeguatezza, gestire il processo di approvazione da parte del titolare della valutazione dei trattamenti, gestire i processi di data breach con eventuali relazioni con le autorità, etc.

Un semplice archivio dai dati non basta.
Ci vuole un sistema che gestisca la mappa dei rischi, i workflow, la parte documentale per la giustificazione delle attività  svolte, i piani delle attività  con le agende e le scadenze, le comunicazioni ai vari interlocutori per la memorizzazione delle lettere e contratti, i reporting di controllo, la gestione delle versioni dei trattamenti con relativo archivio storico, accessi diversificati per le diverse tipologie di utenti (titolare, responsabili dei diversi trattamenti, incaricati, DPO).

E scegliere una soluzione specifica per il problema specifico ma non integrata ne integrabile con gli altri sistemi aziendali moltiplica sistemi, scambi di dati, integrazioni, archivi dati separati, report disaggregati

 
CGS-One  PV fornisce una soluzione completa che copre tutte le attività  richieste dal GDPR, in ogni fase, dall’assessment iniziale fino alla gestione quotidiana, alla gestione degli eventi di databreach e al supporto da parte di un DPO con pluridecennale esperienza specifica nella privacy. Il tutto integrato in un unico sistema che consente di gestire nello stesso ambiente qualsiasi altra esigenze di Governance e controllo aziendale e di adempimento alle diverse normative (es. 231/01, antiriciclaggio, certificazioni ISO, gestione dei rischi, compliance, audit, sicurezza ICT).
Marketing

Siamo su Top Vendors 2018

Top Vendors é dal 1997 l’unica guida ai prodotti e servizi specifici per il mercato finanziario.

Da ormai tre anni EPS è presente con tutte le sue soluzioni. Recentemente sono state aggiunte le novità relative alla gestione dell’antiriciclaggio secondo la nuova direttiva e la soluzione integrata per la gestione dei dati sensibili e personali (Privacy)

Marketing

Studi Professionali: il momento di avvantaggiarsi

Gestione del cliente, Gestione Elettronica Documentale, Conservazione a norma, Privacy, norme Antiriciclaggio, Workflow.

Ancora pochissimi studi ne sono attrezzati. Con alcuni svantaggi.

Sul Corriere economia del 5 giugno scorso è apparso un articolo che esaminava lo stato d’ informatizzazione degli studi legali, mettendolo anche a confronto con quella degli studi di commercialisti e consulenti del lavoro.

ll quadro che ne risulta mostra come ancora gli studi legali fatichino a comprendere l’utilità di una informatizzazione dei processi e dell’archiviazione.
Forse le nuove normative sulla conservazione dei dati della privacy ed ancor più le nuove norme sull’antiriciclaggio, con le loro pesanti conseguenze sanzionatore, potranno dare un’accelerata al processo,

Ma se evitare le multe può essere lo stimolo impellente, potrebbe essere anche la buona occasione per mettere mano a certe procedure che, se informatizzate, porterebbero certamente a migliorare il rapporto con il cliente, a conoscerlo meglio e ad alleggerire il lavoro di studio a basso valore aggiunto.
Basti pensare ad un CRM che conservi a norma tutta la documentazione scambiata con il cliente, ne identifichi peculiarità e ne aggiorni dati sensibili e rilevanti per le norme antiriciclaggio.

O di un sistema documentale che faccia sparire i famosi faldoni di cui ogni buono studio è disseminato.
O dell’accesso a banche dati che segnalino le operazioni sospette o aggiornino sugli aggiornamenti normativi.
Ma molte altre sono le possibilità offerte dalla tecnologia che dovrebbero essere esplorate.

EPS ha approntato una soluzione che,  a costi certi ed in modo completo ma modulare permette agli studi professionali di aggiornarsi e contemporaneamente offrire ai propri clienti un servizio migliore.

Scopri di più
Marketing

Cosa c’è nelle linee guida sulla Data Protection Impact Analysis

Se selezionate i vostri clienti in funzione di un database che mette in relazione le loro informazioni anagrafiche (ad esempio il codice fiscale) con la loro situazione creditizia allora per il nuovo regolamento della privacy occorre classificare i clienti stessi a elevato rischio.

 

Questo è solo uno dei casi che i Garanti europei stabiliscono nel loro documento dello scorso 4 aprile che definisce le linee guida relative al Data Protection Impact Assessment (DPIA), ossia alla valutazione di impatto sulla protezione dei dati.

Il documento precisa che cosa debba intendersi per «elevato rischio per i diritti e le libertà delle persone fisiche». Il precedente Regolamento forniva sul punto criteri astratti, e stabiliva che solo quando un’attività di trattamento comporta rischio elevato diventa obbligatorio procedere al DPIA, che ha infatti un significato preventivo. Le linee guida pongono rimedio a tanta astrattezza e forniscono informazioni molto utili per mettersi a norma.

 

Le linee guida individuano due tipologie di attività contrassegnate da diversi fattori di rischio, relativi, per esempio, alla finalità o all’oggetto del trattamento oppure agli interessati o alle modalità.

È connotato da una finalità a elevato rischio il ricorso a schemi predittivi di comportamenti o di condizioni (per esempio lo stato di salute).

Esempi di rischio elevato correlato all’oggetto del trattamento sono la raccolta di dati sensibili oppure di dati “su larga scala” (si vedano a questo proposito le linee guida DPO) oppure la verifica di una base di dati con basi di dati diverse.

 

È invece soggettivamente a elevato rischio l’attività che riguardi persone vulnerabili per età, quali i minori, o per contesto, come i lavoratori di un’azienda o i pazienti di un ospedale.

Il rischio riguarda le modalità quando al trattamento, per le caratteristiche con cui è svolto, non è possibile ragionevolmente sottrarsi, come nel caso di videosorveglianza sistematica di luoghi pubblici. Presenta ugualmente elementi di rischio elevato l’utilizzo di nuove tecnologie, specie quando non possano ancora integralmente apprezzarsene le ricadute concrete (nelle linee guida viene fatto l’esempio di alcune applicazioni all’interno dell’Internet delle Cose), oppure ancora il trattamento suscettibile di determinare la circolazione di informazioni anche verso Paesi terzi non sicuri.

Di grande interesse è il criterio che i Garanti europei forniscono: un trattamento ha rischio elevato quando concorrono almeno due fattori di rischio. Per esempio, la raccolta di informazioni estratte da social network al fine di creare profili per liste di contatti somma in sé il rischio della profilazione predittiva e quello del trattamento su larga scala, dunque determina l’obbligo di procedere al DPIA.

Il regolamento prevede una analisi preliminare in cui un ruolo centrale è svolto dal Data Protection Officer (DPO), la cui posizione in merito all’obbligo di procedere al DPIA va documentata per successiva verifica.

Nel dubbio, comunque, la valutazione di impatto va svolta, anche per non incorrere nelle elevate sanzioni previste dal Regolamento. In attesa che i criteri applicativi siano precisati, giova notare che il massimo previsto per la violazione dell’obbligo di DPIA è fissato in € 10.000.000 o, per le imprese, nella maggior somma tra tale importo e il 2% del fatturato mondiale annuo dell’esercizio precedente.

Per conoscere la soluzione EPS per la DPIA scaricate la brochure

SCARICA LA BROCHURE
Marketing
1

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi