Leggi attentamente quanto riportato in questa pagina.

Documento per lo scarico di responsabilità


IMPORTANTE

il documento dovrà essere compilato, firmato ed inviato tramite email o posta ordinaria

indirizzo mail:
info@pword.it

Indirizzo di posta ordinaria:
P@ssword di Mirko Ferrario Viale Lombardia, 43 – 21053 Castellanza (VA)

Compila il form e richiedi l’aggiornamento per il GDPR per la tua attività online.

Sarai contattato nel più breve tempo possibile

Accetto la privacy policy del sito e autorizzo al trattamento dei miei dati personali da parte di P@ssword di Mirko Ferrario*

Acconsento all’utilizzo dei miei dati per la ricezione di materiale pubblicitario nell’ambito delle iniziative promosse da P@ssword di Mirko Ferrario*

8 + 3 =

OGGETTO: ADEGUAMENTO AZIENDE AL GDPR
(Regolamento Europeo per il Trattamento dei Dati Personali)

Gentile Cliente, stai ricevendo questa comunicazione in merito alla nostra precedente collaborazione di consulenza informatica e/o sviluppo/realizzazione di siti web.

A causa della nuova regolamentazione sul trattamento dei dati personali (GDPR) ho deciso di inoltrare questo documento per fare chiarezza e spiegare COME e COSA cambierà il GDPR – in vigore dal 25 maggio 2018 – a livello pratico e gestionale.

Leggi attentamente questa comunicazione: è molto importante. Le sanzioni applicate, per chi non risulterà in regola con il GDPR, sono state attualmente quantificate a €20.000.000 o al 4% del fatturato annuo.

1. COS’È IL GDPR

Il GDPR è un regolamento dell’Unione Europea in tema di protezione delle persone fisiche con particolare riferimento al trattamento dei dati personali, soprattutto per quanto concerne la condivisione degli stessi.

I GDPR avrà piena applicazione a partire dal 25 maggio 2018, con l’obiettivo di garantire un’adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy. Si pensi a trattamenti non autorizzati o illeciti, perdita, distruzione o danno accidentale.

2. OBBLIGHI PER CHI POSSIEDE UN SITO WEB

L’acquisizione del consenso al trattamento dei dati è un punto nodale del regolamento. Il GDPR stabilisce infatti che ogni sito web che raccoglie dati personali, per qualsiasi ragione, è tenuto a ottenere da ciascun utente esplicito consenso per il loro utilizzo.

Ogni visitatore deve comprendere i maniera chiara e inequivocabile per quali finalità vengono utilizzati i dati personali e in quale modo essi vengono trattati.

Se un indirizzo email è stato conferito per gestire l’ordine di un prodotto, bisognerà chiarire ad esempio che esso sarà conservato solo per la gestione del sito di e-commerce e non trasmesso a terzi, per esempio, per finalità pubblicitarie.

Un sito web che raccoglie i curriculum dei candidati ai fini di un’opportunità di lavoro può ad esempio sfruttare tali dati s olo questa tale finalità e non per altre (a meno che non sia stato raccolto l’esplicito consenso dell’interessato).

È quindi consigliabile procedere con una revisione del testo dell’informativa sulla privacy (o crearla, per chi ancora non lo avesse fatto dal vecchio regolamento) di ciascun sito web, dal momento che il GDPR in Italia sostituisce il Codice Privacy ovvero il D.Lgs. 196/2003.

PERCHE’ INVIARE QUESTA COMUNICAZIONE SOLO ADESSO? Perché fino ad oggi, diversi obblighi e modalità, risultavano ancora molto “confusi”. Diversi webinar e/o corsi di aggiornamento pratici, sono stati resi disponibili sono negli ultimi giorni. Permettetemi una considerazione più “terra a terra”: “Quasi nessuno ci aveva capito nulla fino ad ora…!”.

3. IL GDPR NON RIGUARDA SOLO IL SITO WEB: LA TUA AZIENDA DOVRÀ ADEGUARSI AL NUOVO REGOLAMENTO

Chiunque gestisca qualsiasi dato personali europei a livello aziendale (praticamente tutti) dovrà adeguarsi al GDPR.

Il consiglio ufficiale e più immediato, è RIVOLGERSI AD UN AVVOCATO e richiedere una consulenza personalizzata sull’adeguamento della tua azienda, non essendo un’operazione teoricamente di competenza di un consulente informatico o di una Web Agency. Detto questo, ho deciso di inviare ad ogni Cliente un breve “tutorial” su COSA FARE e COME COMPORTARSI per mettersi in regola e/o per comprendere al meglio le nuove direttive europee.

ADEGUAMENTO AZIENDE AL GDPR (Regolamento Europeo per il Trattamento dei Dati Personali)

Questa comunicazione ha principalmente 3 obiettivi:

1. Informare i Clienti sul da farsi, consigliando in modo semplice e pratico come mettersi in regola con i nuovi obblighi. Tieni presente che queste considerazioni NON VOGLIONO AVERE NESSUN VALORE LEGALE, in quanto sono il frutto della documentazione e degli aggiornamenti affrontati in questa materia (per certi versi molto complessa) da Neweb Studio (Lorenzo Protasoni) e dai suoi diretti collaboratori;

2. Proporre un’alternativa (per lo meno parziale), in modo da ridurre gli investimenti aziendali che il GDPR porterà a qualsiasi tipo di business o attività professionale;

3. Fare chiarezza in merito alla responsabilità professionale in ambito web. Non dovrebbe essere nostro compito aggiornare i Clienti su eventuali variazioni legislative. Parliamo di regolamentazione europea, quindi di natura prettamente legale: non tecnica o inerente allo sviluppo software. Nonostante questo, ho ritenuto opportuno avvisare ogni realtà con cui ho collaborato direttamente, in quanto la “paura” GDPR sta diventando dilagante.

COME ADEGUARSI AL GDPR (GUIDA PRATICA, STEP BY STEP)

1.1. PREDISPORRE DELLE LINEE GUIDA INTERNE

Sarà necessario creare delle linee guida scritte e ben definite, da inoltrare a tutti i dipendenti, collaboratori e fornitori. Consiglio di allegare le linee guida ai nuovi contratti con i Clienti, per metterli al corrente di come verranno trattati i dati personali.

A livello pratico, il documento dovrà contenere:

  • Tutte le misure di sicurezza necessarie;
  • Come e quali dati personali si desidera trattare;
  • Precise indicazioni sulle responsabilità e tempi di risposta in caso di richieste.


1.2. DOCUMENTO SU “COSA FARE” IN CASO DI “DATA BREACH”

Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente il data breach si realizza con una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezze (da esempio, su web) in maniera involontaria o volontaria. Tale divulgazione può avvenire in seguito a:

1. Perdita accidentale: ad esempio, data breach causato da smarrimento di una chiavetta USB contenente dati riservati

2. Furto: ad esempio, data breach causato da furto di un notebook contenente dati confidenziali;

3. Infedeltà aziendale: ad esempio, data breach causato da una persona interna che avendo autorizzazione ad accedere ai
dati ne produce una copia distribuita in ambiente pubblico;

4. Accesso abusivo: ad esempio, data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.

Si avranno 72 ore per notificare alle Autorità di controllo (Garante) un Data Breach (il furto o la perdita di dati personali). Il GDPR, prevede che sia stato creato preventivamente un documento che spieghi cosa fare.

Il documento dovrà descrivere:

  • Come, quando e chi dovrà contattare le Autorità di Controllo;
  • Quali fornitori andranno interrogati e come;
  • Quali informazioni andranno fornite.

1.3. DOCUMENTO SU “COSA FARE” IN CASO UN UTENTE ESERCITI I PROPRI DIRITTI

Sarà necessario archiviare tutti i dati personali utilizzati dalla propria azienda, in modo ordinato, sicuro e che permetta una consultazione immediata. Un utente, potrà richiedere informazioni (o direttamente la cancellazione) dei propri dati in qualsiasi momento: sarà necessario poter consultare le informazioni nel minor tempo possibile (e su richiesta, poter mostrare questi dati alle Autorità).
ADEGUAMENTO AZIENDE AL GDPR

Bisognerà creare un documento interno che descriva con esattezza:

  • Quali informazioni vanno fornite e dove trovarle;
  • Quali fornitori andranno interrogati e come.

1.4. MANTENERE UN REGISTRO DEL TRATTAMENTO

Il registro del trattamento è un diario, che riporta tutte le direttive sull’informativa privacy aziendale. Il registro del trattamento NON è obbligatorio, ma consiglio di utilizzarlo per ridurre possibili errori e per apparire più “preparati” in caso di un controllo.
Questo documento dovrà contenere:

  • Le tipologie di dati trattati e di interesse coinvolti;
  • Le finalità;
  • Dove verranno salvati i dati;
  • Per quanto tempo (1)
  • Le misure di sicurezza predisposte (2)
  • Chi avrà accesso ai dati personali (3)
  • La base giuridica del trattamento (Consenso, Contratto ecc.) (4)
  • Eventuale trasferimento extra EU (5)

Diritti esercitabili.

  1. Le tempistiche della durata di archiviazione, dovranno teoricamente essere proporzionali alle finalità di raccolta.
  2. Indicare esattamente come abbiamo provveduto a proteggere i dati archiviati (anche una semplice dicitura “Computer locale protetto da password e firewall” può andare bene se ritenuta una protezione opportuna.)
  3. Il titolare dell’azienda, di norma il titolare del trattamento.
  4. Come abbiamo ricevuto il consenso? Da un contratto, newsletter, richiesta verbale ecc. – Attenzione, il consenso dovrà essere DIMOSTRABILE nel momento di una verifica.
  5. Attenzione: se si utilizzano applicazioni, software o servizi in Cloud esteri (come ad esempio Dropbox), tecnicamente stiamo già trasferendo i dati extra EU. Andrebbe notificato e avvisato l’utente tramite consenso.


1.5. VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI

E’ un documento scritto da redigere quando si adotta una nuova tecnologia o in caso di trattamenti ad alto rischio.
In poche parole, se si sta attuando un nuovo progetto che andrà a trattare dati sensibili o “ad alto rischio” (come dati sanitari, dati finaziari ecc.), sarà necessaria una valutazione preliminare e la creazione di questo documento.
Dovrà contenere:

  • Quali dati verranno trattati, perché e se il trattamento è proporzionato alle finalità;
  • Una valutazione sui possibili rischi, inclusa la sicurezza, e le misure per mitigarli.

1.6. LA FIGURA DEL “DPO” (DATA PROTECTION OFFICER).

Il DPO è una nuova figura, ovvero il responsabile della protezione dati, specializzata nella tutela e protezione dei dati e privacy. Fortunatamente, il DPO non è quasi mai obbligatorio. Viene designato sistematicamente dal titolare e/o dal responsabile del
trattamento in tre occasioni:

  • Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
  • Quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.

1.7. IL TITOLARE DOVRA’ SEMPRE POTER DIMOSTRARE IL CONSENSO

Per i moduli offline:

  • Conserva la copia firmata e archiviala con attenzione; Per i moduli online (su web e mobile)
  • Conserva identificatore unico del consenso;
  • Copia del form e dei documenti legali che l’utente ha sottoscritto;
  • Copia dei dati che l’utente ha fornito, inclusa la preferenza; Timestamp.
    Ripeto: archiviare tutto e conservarlo in modo ordinato. Il Garante può chiedere questi documenti in qualsiasi momento.

1.8. INFORMATIVA PRIVACY E COOKIE LAW

Tutti i precedenti obblighi sull’informativa privacy e cookie (obbligatorie per qualsiasi sito web) dovrebbero rimanere per certi versi invariate, ma con l’introduzione del GDPR, verranno inasprite le pene (multe fino a €20.000.000 o 4% del fatturato annuo).
Fino ad ora, il controllo di questi dati è stato pari a zero e molte aziende non hanno mai provveduto ad adeguarsi: si prevede che dopo il GDPR, il controllo sulle irregolarità verrà concesso ad un ente predisposto.
L’informativa Privacy deve contenere:

  • I dati del titolare;
  • Le finalità di trattamento;
  • I terzi coinvolti;
  • I diritti degli utenti;
  • Tutte le basi giuridiche aggiornate.

CONSIGLIO A TUTTI I CLIENTI DI MODIFICARE/AGGIORNARE o INSERIRE (se non presente) l’informativa privacy e cookie, sottoponendola ad un avvocato o affidandosi ad una piattaforma designata per questo scopo.
Se lo desideri,
POSSIAMO OCCUPARCI DI AGGIORNARE “L’INFORMATIVA SULLA PRIVACY” E LA “COOKIE LAW” DEL TUO SITO WEB grazie all’utilizzo di IUBENDA, (un servizio tecnico di terze parti).
IUBENDA e’ un generatore online di privacy policy utilizzabile per ottenere un template da inserire nell’applicazione nonché una soluzione tecnica (“cookie solution”) che fornisce l’informativa estesa sui cookie (“cookie policy”), l’informativa di primo livello (“banner”) richiesta nel provvedimento e che consente il blocco preventivo dei cookie soggetti al consenso dell’interessato.
IUBENDA collabora con avvocati e professionisti del settore, per garantire un servizio legale pratico e sempre aggiornato, ad un prezzo low cost: scopri di più all’indirizzo https://www.iubenda.com/it

SCARICO DI RESPONSABILITÀ SERVIZI INFORMATICI FORNITI

QUI DI SEGUITO IL TESTO CHE TROVERAI PER LO SCARICO DI RESPONSABILITÀ


Manleva per l’uso di servizi online erogati da terzi fornitori


Con riferimento al contratto [inserire estremi del contratto, se presente; altrimenti, eliminare questa riga] stipulato in data [inserire data]

tra

la società [inserire gli estremi dell’agenzia], in qualità di fornitore (“Fornitore”) – da una parte –

e

la società [inserire gli estremi del cliente], in qualità di acquirente (“Acquirente”) – dall’altra parte –

premesso che

  1. il Fornitore è stato incaricato dall’Acquirente di [descrivere in breve il servizio oggetto del contratto o il servizio che il Fornitore è stato informalmente incaricato di eseguire] (di seguito, il “Servizio”);
  2. l‘Acquirente è consapevole che lo spazio web oggetto del Servizio (“Applicazione”) necessita di servizi forniti da terze parti (“Terzi”) per il suo completamento;
  3. il Fornitore ha proposto l’utilizzo di alcuni servizi di Terzi che riguardano vari aspetti dell’erogazione del Servizio, ivi inclusi gli aspetti di compliance dell’Applicazione alla normativa applicabile;
  4. l’Acquirente ha accettato la proposta del Fornitore.

Tutto ciò premesso, che costituisce parte integrante e sostanziale del presente documento, l’Acquirente, sotto la propria esclusiva responsabilità, dichiara di:

  • aver letto e di accettare la privacy policy ed i termini e condizioni dei Terzi i cui servizi sono utilizzati nell’Applicazione;
  • essere consapevole che i servizi di Terzi legati alla compliance dell’Applicazione, sono strumenti insuscettibili di sostituirsi alla consulenza legale necessaria per avere la certezza che l’Applicazione non violi nessuna norma applicabile;
  • essere consapevole che il Fornitore, nel proporre l’utilizzo dei servizi di cui al punto 2), non sta erogando alcun tipo di consulenza legale e non sta in alcun modo suggerendo né incoraggiando l’Acquirente ad evitare di sottoporre l’Applicazione ad un esame di compliance da parte del proprio legale di fiducia che, anzi, è senz’altro incoraggiato;
  • essere consapevole che è preciso dovere dell’Acquirente segnalare al Fornitore ogni aggiunta e/o modifica che dovesse rendersi necessaria sui contenuti generati grazie agli strumenti di Terzi. Qualora, invece, sia il Fornitore a segnalare di propria iniziativa la necessità di eventuali aggiornamenti, resta inteso che laddove l’Acquirente si rifiutasse di eseguire tali aggiornamenti, esso se ne assume sin d’ora la piena responsabilità, tenendo, al contempo, il Fornitore indenne e manlevato da eventuali danni, diretti e indiretti, che dovessero derivarne;
  • essere consapevole che i servizi di Terzi non sono erogati dal Fornitore che, pertanto, non potrà in alcun modo essere ritenuto responsabile in relazione al corretto funzionamento o alla disponibilità, o entrambi, di tali servizi;
  • manlevare e mantenere indenne il Fornitore (nonché le eventuali società dallo stesso controllate o affiliate, i suoi rappresentanti, amministratori, agenti, licenziatari, partner e dipendenti), da qualsiasi obbligo o responsabilità, incluse le eventuali spese legali sostenute per difendersi in giudizio, che dovessero sorgere in relazione ai contenuti ottenuti e/o erogati tramite l’utilizzo dei servizi di Terzi.