Errata interpretazione del GDPR?
La scorsa estate, con una circolare, l'Ordine ha preso posizione sul ruolo del Consulente del Lavoro e sull’organizzazione dello studio professionale di consulenza del lavoro in materia di adeguamento normativo privacy relativo alle nuove disposizioni del Regolamento Europeo Privacy UE/2016/679 (GDPR).
In particolare dalla circolare privacy emerge che:
- “la co-titolarità del Trattamento è ruolo fisiologico per il Consulente del lavoro e discende dal mandato professionale assunto per la gestione dei rapporti di lavoro. In forza di tale ruolo il Consulente-titolare è autonomo nella gestione dei dati delle aziende assistite all'interno del proprio studio, restando escluso e deresponsabilizzato dalle eventuali violazioni della richiamata normativa da parte del proprio cliente nella gestione della propria organizzazione.”
- “il Responsabile del Trattamento è un preposto del Titolare, che deve adempiere alla normativa privacy su mandato e nell’interesse di quest’ultimo. È un ruolo facoltativo che il Consulente del lavoro può assumere previo nuovo e specifico incarico professionale. Comporta un significativo assoggettamento del Consulente alle direttive del cliente-Titolare e, soprattutto, implica la gestione per suo conto del trattamento dei dati personali all’interno della sua azienda”.
Già all'epoca avevamo manifestato perplessità sulla interpretazione dell'Ordine supportati in questo da numerosi articoli su siti e blog autorevoli.
Risposta del Garante
Il 7 febbraio 2019 il Garante della privacy ha divulgato un parere in risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016.
Alla luce del quadro normativo vigente il Garante evidenzia, a mio parere giustamente, che la raccolta dei dati dei dipendenti è effettuata da ciascun datore di lavoro, in qualità di Titolare del trattamento. In qualità di Titolare del trattamento determina le finalità i mezzi del trattamento, elementi che non sono condivisi o condivisibili col consulente. Il consulente del lavoro, dal canto suo, è Titolare del trattamento in ordine ai dati personali dei propri dipendenti e dei propri clienti persone fisiche.
Questa interpretazione comporta un significativo cambiamento di prospettiva e conseguenze significative enell'organizzazione dello Studio; tale cambiamento può l’irrogazione di pesanti sanzioni da parte del Garante (tramite la Guardia di Finanza) qualora non venissero recepite teli indicazioni.
In estrema sintesi, il consulente del lavoro dovrà procedere
- alla definizione con i propri clienti di documenti contenenti istruzioni scritte sulle modalità di trattamento dei dati
- alla formalizzazione di contratti e direttive rivolti ai propri dipendenti e collaboratori
- alla acquisizione di garanzie scritte sulla conformità del proprio lavoro rispetto al Regolamento Ue n. 679/2016
- alla introduzione di misure di sicurezza specifiche
- all’assunzione di un lungo elenco di compiti aggiuntivi indicati dall’art. 28 del Regolamento
Vista la pronuncia del Garante, questo adeguamento non può più essere rinviato soprattutto in vista dei controlli che saranno avviati a partire dai prossimi mesi.
Se vuoi conoscere il tuo stato di adeguamento al nuovo Regolamento Privacy o verificare il livello di sicurezza del tuo sistema di gestione dei dati, informatico o analogico, e della tua identità digitale clicca il link qui sotto e richiedi un check-up gratuito
GDPR, quando bisogna fare aggiornamenti per rimanere conformi nel tempo.
Non basta il primo adeguamento. Con il passare del tempo è necessario intervenire con aggiornamenti per mantenersi conformi. al regolamento. Ecco un elenco tutti i passaggi da compiere per la revisione ed aggiornamento del Sistema di gestione privacy. Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR. Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo. Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e...
Scritto da: Luigi Duraccio
L’antivirus free non è più sufficiente, ecco perché
Gli antivirus free o basati sulle firme non sono più sufficienti. Gli attacchi sono cambiati e vanno cambiati anche gli strumenti per difendersi. Tutti abbiamo provato un antivirus gratuito. Molti lo utilizzano ancora oggi! Purtroppo oggi non è più possibile affidare la propria sicurezza ad un prodotto gratuito. Lo dicono i fatti e i numeri che riporto più avanti in questo articolo. Un antivirus gratuito poteva andare bene, forse, 20 anni fa, quando effettivamente il loro unico compito era quello di fermare i virus, uno alla volta. Si trattava di un virus per...
Scritto da: Luigi Duraccio
Come difendersi dal Ransomware: le 5 cose da fare subito!
Se non hai subito un attacco non aspettare il "se", invece, minimizza gli effetti del "quando". La tua decisione di agire in anticipo potrebbe valere letteralmente molte migliaia di euro! Matt Bromiley, consulente senior di Mandiant Managed Defense, ci parla dei migliori trucchi e suggerimenti per proteggere i sistemi IT aziendali dal ransomware. "Se c'è una minaccia informatica in cima alla mente di tutti in questo momento, deve essere un ransomware. Una volta una minaccia "fastidiosa", il ransomware è diventato un settore multimilionario per...
Scritto da: Luigi Duraccio
Come creare una password sicura e facile da ricordare
Fonte: Informatore Informatico Vi prego, ditemi che non utilizzate "123456" o "password". Utilizzate le vostre iniziali e la data di nascita? Forse è ancora peggio! In questo articolo voglio aiutarvi e spiegarvi come creare una password impenetrabile e facile da ricordare. C'è da dire che gli informatici continuano a dirvi di usare password complesse ma non vi spiegano perchè è importante, come fare e, soprattutto, come ricordarsela. Infatti non è difficile creare una password sicurissima, ad esempio: "$drg|gk§?__dd66uy°#!" ma poi come facciamo a ricordarla? Dovrete segnarvela da qualche...
Scritto da: Luigi Duraccio
Mentre sei in vacanza gli hacker lavorano. Trucchi e consigli per un'estate sicura.
L’estate è il momento preferito dai criminali informatici per sferrare i loro attacchi. Ecco un elenco di semplici regole da seguire per non cadere vittime degli hacker! L’estate è un momento ideale per gli hacker per sferrare i loro attacchi approfittando degli uffici non presidiati e delle distrazioni degli utenti. A causa di comportamenti imprudenti accedono agli account ed ai dispositivi per rubare dati e informazioni. Una volta in viaggio si pensa a proteggere denaro ed effetti personali. Ma è necessario anche...
Scritto da: Luigi Duraccio
Il responsabile del trattamento. La nomina e la verifica sono obbligatorie.
Fonte: privacylab.it Autore: Andrea Chiozzi La gestione del responsabile esterno è una questione sempre più importante, sia perché è un obbligo di legge, ma anche perché il Garante sta facendo le pulci su questo aspetto. Ti do una notizia. L’autorità Garante, in tutte le ispezioni che sta facendo, sta chiedendo ai titolari del trattamento chi sono i responsabili esterni, come sono stati identificati e come sono stati verificati. Quando, secondo il GDPR, un’azienda deve nominare un responsabile esterno? Quando decide di affidare all'esterno delle attività che potrebbe fare al suo interno e che preferisce dare fuori. I...
Scritto da: Luigi Duraccio
I Cookie in Italia: tutto quello che devi sapere per essere in regola e Guida all'adeguamento.
Il 10 luglio 2021, il Garante per la protezione dei dati personali ha approvato le nuove linee guida per l’uso dei cookie. Se hai un sito web e sede in Italia, tali requisiti ti riguardano. Hai 6 mesi di tempo per adeguarti (fino al 10 gennaio 2022, 6 mesi a partire dal 9 luglio 2021, data della pubblicazione delle linee guida nella Gazzetta Ufficiale). Con questa guida vogliamo aiutarti a capire cos’è cambiato e come rispettare i requisiti con il minimo sforzo. Le novità in breve. Cookie...
Scritto da: Luigi Duraccio
COOKIE: dal Garante privacy le nuove Linee guida. 6 mesi per adeguarsi.
Cookie: dal Garante privacy nuove Linee guida a tutela degli utenti No a scrolling e a cookie wall se non in casi particolari, limiti alla reiterazione della richiesta di consenso Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. Clicca...
Scritto da: Luigi Duraccio
Metà dei dipendenti italiani non aggiorna i software in uso. Una cattiva abitudine!
Aggiornare software e dispositivi è una buona prassi di sicurezza, non una perdita di tempo. Ecco perché è importante intervenire. Vi spiego come farlo senza perdere tempo! Gli aggiornamenti non si limitano solo a fornire nuove funzionalità e correggere bug, ma eliminano anche le vulnerabilità relative alla sicurezza sfruttate dai criminali informatici. Ecco perché la gestione delle patch è essenziale per la sicurezza aziendale. Tuttavia, alcuni dipendenti sono riluttanti ad aggiornare i dispositivi aziendali e lasciano che all’interno della rete aziendale ci...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.