Consulenza Privacy - Polimatica Progetti

CONSULENZA E SERVIZI
PRIVACY DI POLIMATICA
PROGETTI
Aggiornato al 7 Luglio 2014
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 1/24
INDICE
1
INTRODUZIONE ........................................................................................... 3
2
PRIVACY ASSESSMENT ................................................................................. 5
3
CONSULENZA PER L’ADEGUAMENTO ............................................................... 6
3.1
DOCUMENTAZIONE PRIVACY E PROCEDURE ............................................... 6
3.2
EX DPSS ................................................................................................ 7
3.2.1
ORGANIGRAMMA DELLA PRIVACY .......................................................................... 8
3.2.2
ANALISI DEI TRATTAMENTI ...................................................................................... 9
3.2.3
ANALISI DEI RISCHI ................................................................................................... 9
3.2.4
MISURE DA ADOTTARE .......................................................................................... 10
3.2.5
PIANO DI FORMAZIONE .......................................................................................... 10
3.3
PRIVACY POLICY ................................................................................... 11
3.3.1 LINEE GUIDA PER IL TRATTAMENTO SICURO DEI DATI MEDIANTE L’UTILIZZO
DEGLI STRUMENTI AZIENDALI (DISCIPLINARE INTERNO) .............................................. 11
3.3.2
3.4
POLICY WEB ............................................................................................................ 12
PROVVEDIMENTI DEL GARANTE.............................................................. 13
3.4.1
AMMINISTRATORI DI SISTEMA ............................................................................... 13
3.4.2
VIDEOSORVEGLIANZA ............................................................................................ 14
3.4.3
GEOLOCALIZZAZIONE ............................................................................................ 16
3.4.4
MARKETING ............................................................................................................. 17
4
FORMAZIONE............................................................................................. 17
5
CONSULENZA E SERVIZI PER IL MANTENIMENTO ........................................... 19
5.1
AUDIT ................................................................................................. 19
5.2
PRIVACY GESTITA................................................................................. 20
6
PRIVACY OFFICER ...................................................................................... 21
7
PRIVACY E QUALITÀ ................................................................................... 23
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 2/24
1
INTRODUZIONE
L’obiettivo principale dei servizi illustrati in questo documento è quello di costruire e
mantenere aggiornato un vero e proprio “Sistema di Gestione della Privacy”.
Il raggiungimento di tale obiettivo richiede un approccio di tipo multidisciplinare, ed è
per questo che l’attività viene svolta da un team di consulenti legali, consulenti di
organizzazione ed esperti di Information Technology & Security.
Nel documento per ognuno dei servizi vengono descritti gli obiettivi, i contenuti e le
metodologie.
Si parte dalla illustrazione del servizio di Privacy Assessment, poiché il processo di
adeguamento alla normativa Privacy, volto a raggiungere la cosiddetta Privacy
Compliance, non può prescindere da una verifica iniziale che ha come obiettivo
l’individuazione delle non conformità e la distanza dalla compliance normativa,
permettendo quindi di identificare e di conseguenza pianificare correttamente le azioni
da intraprendere.
Successivamente vengono illustrati i servizi di consulenza privacy per mezzo dei quali
Polimatica Progetti assiste il cliente nell’attuazione del processo di adeguamento.
Questi servizi potranno essere combinati secondo le esigenze di ogni singola azienda e
secondo le priorità stabilite a conclusione del Privacy Assessment.
Una volta completato l’adeguamento occorre che la compliance normativa sia
garantita nel tempo. Con il servizio di Privacy gestita, accompagnato da un piano di
Audit su singole unità organizzative o specifici trattamenti, Polimatica Progetti aiuta il
cliente a provvedere al mantenimento e aggiornamento continuo di documenti,
procedure e misure.
Un passo ulteriore verso l’efficacia e l’efficienza dei processi legati alla Privacy può
essere compiuto con il nostro supporto integrando il Sistema di Gestione della Privacy
con il Sistema di Gestione della Qualità.
Il diagramma di seguito riportato fornisce una visione sintetica delle attività e fasi per
la gestione dell’intero processo Privacy.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 3/24
SISTEMA DI GESTIONE PRIVACY
Privacy assessment


Gap Analysis
Compliance normativa
Privacy gestita
Audit
Privacy Officer
Privacy e Qualità
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 4/24
2
PRIVACY ASSESSMENT
Ogni azienda privata o pubblica che voglia iniziare o completare il percorso di
adeguamento verso la compliance alla normativa Privacy, dovrà misurare la distanza
che la separa dal soddisfacimento dei requisiti di legge al fine di determinare e
pianificare le azioni da mettere in atto per raggiungere la conformità.
Tale attività viene chiamata Privacy Assessment.
Il Privacy Assessment di Polimatica Progetti
Per effettuare un Privacy Assessment occorre svolgere un’analisi approfondita delle
misure adottate e delle prescrizioni che sono state soddisfatte. Il Privacy Assessment
si effettua confrontando e valutando la distanza tra la documentazione, le procedure e
le misure di sicurezza messe in atto dall’azienda e i requisiti fissati dal Codice della
Privacy, dall’Allegato B e dai Provvedimenti del Garante (Gap analysis).
In altre parole il Privacy Assessment prevede che per ciascuno dei predetti requisiti si
attesti il livello di compliance normativo: ecco perché il Privacy Assessment può essere
condotto solo da un team di professionisti della Privacy.
Polimatica Progetti durante il Privacy Assessment prenderà in considerazione aspetti
quali:

documentazione prevista dal Codice;

misure di sicurezza fisiche;

misure di sicurezza logiche (informatiche);

misure di sicurezza organizzative (ad es. esistenza di politiche e/o di
procedure);

provvedimenti del Garante Privacy (quali ad esempio amministratori di sistema,
videosorveglianza, localizzazione satellitare, marketing e profilazione della
clientela).
Il risultato del Privacy Assessment è un documento che potrà essere utilizzato dal
Titolare del trattamento come strumento di supporto alle decisioni in merito alle
prescrizioni da assolvere e alle misure da adottare.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 5/24
3
CONSULENZA PER L’ADEGUAMENTO
Una volta effettuato il Privacy Assessment è possibile affrontare il percorso di
adeguamento, che potrà comprendere tutte o alcune delle attività descritte nel
seguito.
3.1
DOCUMENTAZIONE PRIVACY E PROCEDURE
Documentazione Privacy
Per preparare in maniera corretta la documentazione prescritta dalla legge occorre
innanzitutto identificare il cosiddetto Organigramma della Privacy, definendo i ruoli le
responsabilità e i compiti di tutti coloro che sono chiamati a trattare i dati personali.
Tali compiti sono resi espliciti attraverso la stesura di idonee lettere di nomina che
dovranno essere predisposte sia per il personale interno incaricato o responsabile del
trattamento dei dati, sia per i soggetti esterni incaricati di trattare i dati per conto
dell’azienda o della pubblica amministrazione.
È necessario poi redigere le informative per i dipendenti, i clienti/utenti, i fornitori: per
mezzo di questi documenti l’azienda (o la pubblica amministrazione) rende note agli
interessati le finalità e le modalità dei trattamenti di dati che li riguardano, le eventuali
comunicazioni a soggetti terzi, le tutele che vengono loro garantite.
Insieme alle informative occorrerà poi predisporre, in tutti i casi previsti dalla legge
(ad esempio per la finalità di marketing), le formule e le modalità per la raccolta del
consenso da parte degli interessati.
La corretta individuazione dei contenuti delle lettere di informativa e di incarico passa
necessariamente attraverso un’Analisi dei trattamenti dei dati effettuati dall’azienda,
che si traduce in un elenco di “banche dati” le cui caratteristiche vengono illustrate più
avanti in apposito paragrafo.
È importante sottolineare come la documentazione di legge per l’adeguamento al
Codice della Privacy non debba essere considerata un adempimento di natura
esclusivamente burocratica, bensì un vero e proprio biglietto di presentazione
dell’azienda, che testimonia la cura che viene prestata nel trattare i dati personali dei
dipendenti, dei clienti/utenti e dei fornitori.
Procedure Privacy
La stesura della Documentazione Privacy non basta da sola a garantire una efficace e
costante applicazione della normativa.
Occorre anche formalizzare e mettere in atto le necessarie procedure per il rilascio, la
conservazione, l’aggiornamento della documentazione.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 6/24
È opportuno, ad esempio, predisporre Procedure Privacy da applicare alla gestione del
personale, come pure alla gestione degli Amministratori di Sistema e a quella della
raccolta e pubblicazione di dati sul Web.
La consulenza di Polimatica Progetti su documentazione e procedure privacy
comprende (a titolo esemplificativo e non esaustivo):

individuazione di ruoli e responsabilità (Organigramma della Privacy)

stesura delle lettere di nomina di incaricati e responsabili del trattamento (e di
eventuali soggetti terzi)

stesura delle informative per gli interessati (clienti/utenti, fornitori, dipendenti)

identificazione dei casi che prevedono l’obbligo di prestazione del consenso da
parte degli interessati, e predisposizione della formula di richiesta del consenso

stesura delle Procedure Privacy di rilascio, conservazione e aggiornamento della
documentazione.
Documentazione
Privacy
e
Procedure,
insieme
alla
corretta
definizione
dell’Organigramma della Privacy, andranno a costituire un Sistema di Gestione della
Privacy (eventualmente integrabile col Sistema di Gestione della Qualità).
3.2 EX DPSS
Il decreto legislativo semplifica Italia, approvato in via definitiva dal Parlamento ad
Aprile 2012, ha eliminato l’obbligo di redazione del DPSS (Documento Programmatico
sulla Sicurezza).
Non sono invece stati abrogati tutti i restanti adempimenti e prescrizioni, quali ad
esempio l’obbligo di adottare le misure di sicurezza a livello fisico, logico e
organizzativo per assicurare la riservatezza, l’integrità e la disponibilità dei dati (di cui
al Codice e all’Allegato B dello stesso), l’obbligo di fornire agli incaricati idonee
istruzioni per il trattamento sicuro dei dati ecc…
La necessità di rispettare gli adempimenti porta le aziende a raccogliere, organizzare e
mantenere aggiornati i dati e le informazioni contenuti nei principali capitoli previsti fin
qui nel DPSS, in particolare:

trattamenti effettuati dall’azienda

strumenti utilizzati per i trattamenti

distribuzione
dell’azienda
dei
compiti
e
delle
responsabilità
all’interno
e
all’esterno
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 7/24

Analisi dei Rischi a cui sono sottoposti i dati e verifica delle misure di sicurezza
adottate

identificazione delle ulteriori misure minime e idonee da adottare.
Pertanto resta indispensabile raccogliere e strutturare tutte le necessarie informazioni
all’interno di uno o più documenti che l’azienda organizzerà nei modi che riterrà
opportuni.
L’approvazione in via definitiva del Regolamento Europeo per la Protezione dei Dati
Personali farà si che le aziende si impegnino sulla verifica effettiva dell'applicazione
delle misure di sicurezza previste dal Codice e, in base al principio di Accountability,
dovranno dimostrare l’effettiva adozione delle misure e prescrizioni.
Quali sono le attività che occorre continuare a eseguire?
In base alle informazioni riportate e alle considerazioni espresse è dunque non solo
opportuno ma indispensabile l’aggiornamento del DPSS ogni qualvolta intervengano
modificazioni nell’organizzazione aziendale, nei trattamenti di dati effettuati e nelle
misure di sicurezza adottate. Tale attività permette fra l’altro di farsi trovare preparata
al momento dell’approvazione in via definitiva del Regolamento Europeo.
Le attività principali da eseguire, sulle quali Polimatica Progetti fornisce consulenza e
supporto sono:

Identificazione e aggiornamento di ruoli e responsabilità (Organigramma della
Privacy).

Stesura e aggiornamento dell’elenco dei trattamenti.

Analisi dei Rischi e verifica delle misure di sicurezza logiche fisiche e
organizzative.

Identificazione delle misure da adottare.

Predisposizione di un piano formativo.
3.2.1 ORGANIGRAMMA DELLA PRIVACY
Per una corretta attuazione della normativa occorre che per tutti coloro i quali trattano
dati all’interno dell’azienda vengano individuati compiti e responsabilità relativamente
al trattamento dei dati. Per questo motivo dovrà essere definito il cosiddetto
“Organigramma della Privacy).
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 8/24
L’assegnazione di compiti e responsabilità dovrà tenere conto anche dei soggetti terzi
che effettuano trattamenti di dati per conto del Titolare del trattamento (ad es. i
soggetti che forniscono servizi in outsourcing quali l’elaborazione paghe e stipendi).
3.2.2 ANALISI DEI TRATTAMENTI
Una corretta identificazione delle misure da adottare per proteggere i dati personali
deve prima di tutto passare attraverso una analisi che individui le tipologie e le
caratteristiche dei dati che l’azienda o la pubblica amministrazione trattano.
Per questo motivo dovrà essere effettuato e mantenuto aggiornato un censimento dei
trattamenti che per ciascuno di questi descriva – fra gli altri – la natura dei dati, le
finalità del trattamento, le modalità di quest’ultimo (informatico, cartaceo…), le risorse
utilizzate per il trattamento (hardware, software…), gli eventuali soggetti terzi
coinvolti etc.
3.2.3 ANALISI DEI RISCHI
L’Analisi dei Rischi consente di definire o aggiornare le policy e le misure di sicurezza
che l’azienda dovrà adottare per salvaguardare i propri dati e prevenire i danni
economici.
Quest’attività non risponde solo al problema di applicare correttamente la normativa
Privacy, ma costituisce una premessa importante per la gestione della continuità
operativa (Business Continuity) e la salvaguardia del patrimonio di dati aziendale.
Come funziona l’Analisi dei Rischi
Per l’Analisi dei Rischi si utilizza una metodologia di tipo qualitativo, più adatta a
determinare il trattamento dei rischi in presenza di norme cogenti che impongono
misure di sicurezza minime (come il Codice per la tutela dei dati personali). L’attività
prevede una verifica dello stato di attuazione degli adempimenti e delle misure di
sicurezza a livello fisico, logico e organizzativo.
Per raccogliere i dati utili allo svolgimento dell’Analisi, dovremo intervistare le persone
di riferimento dell’azienda (il Responsabile Privacy e/o del trattamento, il Responsabile
dei Sistemi Informativi e/o Security Manager, il Responsabile del Personale, il
Responsabile dell’Ufficio Tecnico).
Il rischio residuo viene calcolato considerando il rischio da abbattere (calcolato
mediante il prodotto della probabilità che si verifichi un determinato evento che
minacci la sicurezza dei dati, per l’impatto provocato su questi ultimi) e le misure di
sicurezza adottate.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 9/24
Per avere un efficace Sistema di Gestione della Privacy, occorrerà eseguire l’Analisi
con una frequenza commisurata al livello di criticità dei dati da proteggere e ai
cambiamenti tecnologici.
Nel rapporto conclusivo, oltre ai risultati dell’Analisi dei Rischi, indicheremo le misure
da adottare di tipo logico, fisico e organizzativo per tutelare la Privacy e la vostra
azienda.
Per le realtà aziendali più complesse consigliamo di accompagnare l’Analisi dei Rischi
con l’attività di Vulnerability Assessment sui sistemi e sulle reti: Analisi dei Rischi e
Vulnerability Assessment sono da considerarsi complementari.
3.2.4 MISURE DA ADOTTARE
Il risultato dell’analisi dei rischi fornirà, come si è detto, una indicazione delle misure
da adottare, non soltanto di quelle minime e idonee per la protezione dei personali
richieste dalla legge, ma anche di quelle per la salvaguardia di tutti gli altri dati da
considerarsi critici e riservati per l’azienda. È importante che alla descrizione di queste
misure venga accompagnato un piano per l’attuazione delle stesse.
3.2.5 PIANO DI FORMAZIONE
Il Codice prevede che tutti gli incaricati debbano essere istruiti sulle corrette modalità
di trattamento dei dati; inoltre è importante far sì che tutti coloro che trattano i dati
applichino nella pratica quotidiana le misure di sicurezza previste dalla legge e le
regole comportamentali fissate dall’azienda.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 10/24
Questi obiettivi possono essere raggiunti predisponendo e attuando un adeguato piano
formativo.
Il documento descrive i contenuti, le modalità di attuazione e i tempi di attuazione
degli interventi formativi rivolti ai Responsabili e agli Incaricati del trattamento.
La pianificazione dovrà comprendere sia la formazione iniziale per i neoassunti sia
l’aggiornamento continuo del personale.
3.3 PRIVACY POLICY
La definizione di Policy per garantire la Privacy e la Sicurezza dei dati costituiscono
verso l’interno delle aziende uno strumento per favorire l’applicazione della normativa
e delle misure di sicurezza, verso il mondo esterno un efficace biglietto di
presentazione.
3.3.1 LINEE GUIDA PER IL TRATTAMENTO SICURO DEI DATI MEDIANTE
L’UTILIZZO DEGLI STRUMENTI AZIENDALI (DISCIPLINARE INTERNO)
Poiché la sicurezza non dipende solo da aspetti tecnici ma anche da quelli organizzativi
e comportamentali, tutti i dipendenti devono considerarla una componente integrante
dell’attività quotidiana, finalizzata alla protezione delle informazioni e delle
apparecchiature da manomissioni, uso improprio, distruzione.
L’uso improprio degli strumenti informatici può:

arrecare un danno in termini di perdita di tempo lavorato

nuocere da un punto di vista della sicurezza e della reputazione

esporre l’azienda a rischi di natura legale.
Anche il T.U. sulla privacy (D.lgs. 196/03) impone, per procedere a qualunque
trattamento dei dati personali, il rispetto di certi criteri guida onde garantire il rispetto
del diritto alla riservatezza dell’individuo.
Questo concetto è stato ribadito e meglio esplicitato dal Garante per la protezione dei
dati attraverso il Provvedimento a carattere generale 01 marzo 2007, che raccomanda
l'adozione da parte delle aziende di un disciplinare interno nel quale siano chiaramente
indicate le regole per l'uso dei beni aziendali e in particolare di Internet e della posta
elettronica.
L'Autorità prescrive ai datori di lavoro di informare con chiarezza e in modo dettagliato
i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla
possibilità che vengano effettuati controlli nel rispetto dei diritti dei lavoratori.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 11/24
È dunque necessario adottare e diffondere una politica aziendale trasparente in cui
siano esplicitati i limiti di utilizzo delle risorse assegnate ai dipendenti, per lo
svolgimento delle mansioni lavorative, nonché le regole comportamentali da osservare
per trattare in modo sicuro sia i dati informatici che quelli cartacei.
In tal modo, l’Azienda:

protegge i propri investimenti

salvaguarda i dati e le informazioni

si tutela da potenziali responsabilità legali

evita problemi di sicurezza informando e incentivando i comportamenti corretti

protegge la propria reputazione
L’attività che proponiamo prevede la stesura di un documento contenente le Linee
guida per l’utilizzo dei beni e strumenti aziendali in conformità con la normativa in
vigore e in particolare con quanto previsto dal provvedimento del Garante Privacy
sopra citato.
Per una maggiore efficacia e comprensione si suggerisce di accompagnare la consegna
del documento con un incontro di formazione.
3.3.2 POLICY WEB
Il Web viene utilizzato sempre di più dalle aziende e dalle Pubbliche Amministrazioni
per fornire informazioni mirate ed erogare servizi a clienti, fornitori, cittadini.
Il Web e altri strumenti di comunicazione quali i Social Networks vengono inoltre
impiegati diffusamente come strumenti di marketing, raccogliendo dati non solo in
forma anonima dei clienti/visitatori, e in alcuni casi anche per profilarne i
comportamenti di acquisto e le abitudini al consumo.
Tutto questo ha determinato per il legislatore ma soprattutto per il Garante Privacy la
necessità molto forte di fissare alcune regole che aziende e pubbliche amministrazioni
debbono seguire per salvaguardare la privacy degli utenti.
Citiamo a titolo di esempio i seguenti Provvedimenti:

Linee guida in materia di trattamento di dati personali contenuti anche in atti e
documenti amministrativi, effettuato da soggetti pubblici per finalità di
pubblicazione e diffusione sul web - 2 marzo 2011.

Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio
2013.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 12/24

Consenso al trattamento dei dati personali per finalità di "marketing diretto"
attraverso strumenti tradizionali e automatizzati di contatto - 15 maggio 2013.
I Provvedimenti impongono ai Titolari del trattamento di informare in maniera corretta
e completa gli utenti/visitatori sulle modalità di trattamento dei loro dati attraverso il
web e sulle tutele che vengono loro fornite.
L’azienda e la Pubblica Amministrazione oltre ad altri adempimenti, hanno in definitiva
l’obbligo di redigere e rendere conoscibile un documento di Privacy Policy orientato
alla pubblicazione e alla raccolta di dati personali attraverso il web.
La Polimatica Progetti fornisce tutto il necessario supporto, dall’analisi della
problematica alla redazione del documento di Policy e a tutti gli altri adempimenti
necessari (ad es. la notificazione al Garante in caso di profilazione degli utenti, o la
redazione di un regolamento interno per la pubblicazione di dati sul Web nel caso delle
Pubbliche Amministrazioni).
3.4 PROVVEDIMENTI DEL GARANTE
Uno dei compiti dell’Autorità Garante per la Protezione dei Dati Personali è quello di
intervenire su problematiche o ambiti di applicazione specifici, al fine di attuare in
maniera efficace quanto contenuto nella norma, traducendolo in raccomandazioni,
prescrizioni e linee guida.
Il Garante emana pertanto sempre più frequentemente Provvedimenti a carattere
generale, ai quali viene di fatto attribuito valore di legge.
Di seguito ne vengono richiamati alcuni tra quelli di applicazione più frequente,
insieme ai servizi di consulenza che Polimatica Progetti è in grado di fornire.
Esistono inoltre numerosi Provvedimenti che riguardano in maniera particolare ad
esempio l’ambito della Sanità, delle Scuole, della Pubblica Amministrazione e altri che
non vengono qui illustrati, ma anche sui quali mettiamo a disposizione le nostre
competenze.
3.4.1 AMMINISTRATORI DI SISTEMA
Agli Amministratori di Sistema è affidato il compito di vigilare e operare per il corretto
funzionamento dei sistemi informatici di un'azienda o di una pubblica
amministrazione.
In virtù delle loro funzioni, essi hanno la possibilità di accedere a tutti i dati che
transitano sulle reti e i sistemi aziendali, ivi compresi i dati sensibili dei lavoratori.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 13/24
È per questo motivo che il Provvedimento del Garante Privacy in materia di
Amministratori di Sistema impone specifiche misure di tipo organizzativo e prescrive
ai Titolari del trattamento una verifica periodica delle attività degli Amministratori di
Sistema. Riassumiamo alcuni elementi importanti riguardanti il Provvedimento:

Registrazione degli accessi: occorre adottare sistemi di controllo per
registrare gli accessi effettuati dagli amministratori di sistema ai sistemi di
elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i
riferimenti temporali, la descrizione dell'evento che le ha generate e devono
essere conservate per almeno sei mesi.

Verifica dell’attività svolta: i Titolari del trattamento dovranno verificare
periodicamente (almeno una volta all’anno) l'operato degli amministratori di
sistema riguardo alle misure organizzative, tecniche e di sicurezza previste dalla
legge.

Elenco degli Amministratori di Sistema e dei compiti a loro affidati: è
obbligatorio inserire in un documento interno gli estremi identificativi degli
amministratori di sistema e l'elenco dei loro compiti. Tale documento dovrà
essere mantenuto aggiornato e reso disponibile in caso di accertamenti da parte
dell’autorità Garante per la Privacy. È anche opportuno inserire l’elenco nel
DPSS nel caso in cui (come consigliabile) si decida di mantenere questo
documento.
Polimatica Progetti fornisce consulenze di tipo organizzativo e legale per la
predisposizione di tutta la documentazione di legge necessaria in materia di
Amministratori di Sistema (lettere di nomina, documento di verifica annuale, elenco
degli Amministratori di Sistema e dei loro compiti. L’obbligo di registrazione degli
accessi e verifica periodica delle attività degli Amministratori di Sistema può essere
rispettato mediante l’adozione di strumenti di Log Management che Polimatica Progetti
può fornirvi in collaborazione con Polimatica.
Siamo inoltre in grado di fornire adeguato supporto anche per le attività di analisi dei
Log che il Titolare del trattamento non voglia o non possa effettuare autonomamente.
3.4.2 VIDEOSORVEGLIANZA
L’attivazione di un sistema di videosorveglianza, tema sul quale è intervenuto più
volte il Garante della Privacy, deve essere fatta nel rispetto del diritto alla Privacy dei
cittadini e dei lavoratori, nonché dell’art. 4 dello Statuto dei Lavoratori che vieta il
controllo a distanza di questi ultimi.
Il Provvedimento a carattere generale del 8 Aprile 2010 sostituisce quello emanato nel
2004, integrandolo e considerando le possibilità offerte dalle nuove tecnologie.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 14/24
I principi generali sono:

Le persone che transitano in aree videosorvegliate devono essere informate con
appositi cartelli, visibili al buio se il sistema di videosorveglianza è attivo in
orario notturno.

I sistemi di videosorveglianza installati da soggetti pubblici e privati collegati
alle forze di polizia richiedono uno specifico cartello informativo, sulla base del
modello elaborato dal Garante.

Occorre concordare con le rappresentanze sindacali dei lavoratori o in assenza
far autorizzare dalle competenti direzioni del lavoro l’installazione di sistemi che
possano anche incidentalmente registrare le immagini di lavoratori

È necessario incaricare per iscritto le persone autorizzate a visionare le
immagini, nonché i soggetti incaricati della manutenzione, identificando per
ciascuno il profilo di autorizzazione

Nei casi previsti dalla legge occorre effettuare la notificazione del trattamento al
Garante Privacy
Per quanto riguarda la conservazione:

Le immagini registrate possono essere conservate per periodo limitato e fino ad
un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in
relazione a indagini di polizia e giudiziarie.

Per attività particolarmente rischiose (es. banche) è ammesso un tempo più
ampio, che non può superare comunque la settimana.

Eventuali esigenze di allungamento della
sottoposte a verifica preliminare del Garante.
conservazione
devono
essere
Particolari regole sono previste per le Pubbliche Amministrazioni che installano sistemi
di videosorveglianza.
L’obiettivo del servizio di Polimatica Progetti è quello di mettere a norma le aziende e
le pubbliche amministrazioni per quanto riguarda le misure da adottare per l’impianto
e la documentazione prevista dalle normative in vigore.
Il servizio prevede:

consulenza legale e tecnico organizzativa su quanto previsto dal Provvedimento
in materia di videosorveglianza, per mettere l’azienda in grado di mettere in
atto le necessarie misure e adempiere alle prescrizioni;
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 15/24

individuazione dell’eventuale responsabile e incaricati del trattamento dei dati
(ai fini della videosorveglianza), e conseguente loro nomina (a mezzo di
opportune lettere di incarico);

stesura della documentazione necessaria: regolamento ad uso interno,
informative da appendere all’esterno dell’area video sorvegliata e all’interno
dell’edificio;

supporto alla stesura del testo di accordo con le RSA o in alternativa della
richiesta di autorizzazione alla DTL;

supporto alla eventuale notifica al Garante e, nei casi particolari, alla verifica
preliminare.
3.4.3 GEOLOCALIZZAZIONE
I dati relativi all’ubicazione dei veicoli acquisiti tramite sistema di tracciamento e
geolocalizzazione
costituiscono
informazioni
personali
riconducibili
(anche
indirettamente) ai conducenti dei mezzi e come tali soggetti alle normative in materia
di protezione dei dati personali. I dati acquisiti dalle apparecchiature di
geolocalizzazione sono altresì soggette agli obblighi previsti dall’art. 4 della Legge N.
300/1970 (divieto di controllo a distanza dei lavoratori).
Polimatica Progetti fornisce tutto il supporto necessario alla definizione delle procedure
per il corretto utilizzo del sistema secondo quanto previsto dalle normative in materia
di geolocalizzazione, privacy e statuto dei lavoratori.
In particolare a titolo esemplificativo e non esaustivo:

supporto alla definizione degli accordi con le rappresentanze sindacali dei
lavoratori o alle richieste di autorizzazione alla Direzione Territoriale del Lavoro;

notifica al Garante (nei casi previsti);

stesura della lettera di informativa;

individuazione dei Responsabili e Incaricati del trattamento e stesura delle
lettere di nomina;

stesura delle policy organizzative e di sicurezza per il corretto trattamento dei
dati del sistema di geolocalizzazione.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 16/24
3.4.4 MARKETING
Dal Registro delle Opposizioni alle Web Policy, dal Soft Spamming ai Cookies per il
Remarketing: cosa occorre sapere per salvaguardare i propri legittimi interessi
commerciali e allo stesso tempo rispettare la privacy dei clienti.
In seguito all’emanazione da parte dell’Autorità Garante delle “Linee guida in materia
di attività promozionale e contrasto allo spam” (4 luglio 2013) e del “Provvedimento
sull’utilizzo dei cookie” (8 maggio 2014), si possono definire con maggiore chiarezza le
caratteristiche che devono contraddistinguere un’informativa per questo genere di
attività.
E’ opportuno individuare le modalità delle attività promozionali e verificare se la
raccolta dei dati, a mezzo per es. di un web form o di cookies piuttosto che attraverso
call center, risulti conforme alla normativa.
In particolare per il mondo del web, la Germania (in virtù del proprio peso
nell’orientamento delle politiche comunitarie) ha sollevato dei problemi che sembrano
destinati a influenzare anche le regole del mercato in Europa.
Polimatica Progetti può aiutarvi a:
4

predisporre delle specifiche informative per le attività di marketing

verificare che le modalità utilizzate per svolgere attività di marketing
(attraverso per es. web form, mailing list, call center, agenti…) rispettino la
normativa
FORMAZIONE
La formazione e la sensibilizzazione di tutto il personale responsabile e incaricato del
trattamento dei dati sono elementi chiave per l’applicazione effettiva ed efficace del
Codice in materia di protezione dei dati personali.
Oltre a costituire un obbligo di legge, la formazione è indispensabile per contribuire
alla massima diffusione della cultura della sicurezza, evitando che comportamenti
inconsapevoli possano causare problemi o minacce alla sicurezza nel trattamento dei
dati.
L’utilità quindi non è limitata alla prevenzione dei rischi di natura legale: investire in
formazione significa anche salvaguardare la continuità operativa (business continuity)
e il patrimonio di dati aziendale.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 17/24
I Corsi di Formazione Privacy che vengono proposti, sia in aula che sul campo, sono
erogati presso le sedi dei clienti, senza problemi di turni e straordinario.
Tutti i nostri corsi hanno carattere fortemente pratico e vengono svolti attraverso una
costante interazione fra docente e partecipanti.
Corso per Responsabili del trattamento
Obiettivi generali del corso sono sia di far conoscere gli obblighi di legge derivanti
dalla tutela dei dati personali e la loro applicazione nella pratica quotidiana, sia di
accrescere la cultura e la visione strategica della sicurezza al fine di garantire un
livello di tutela commisurato all’importanza dei servizi resi.
Al termine del corso i partecipanti comprenderanno anche come una corretta
organizzazione dei processi di gestione delle informazioni permetta non soltanto di
applicare la normativa in maniera efficace ma anche di ridurre i costi associabili a
carenze di sicurezza.
Corso per Incaricati del trattamento
L’obiettivo è di far conoscere a tutto il personale coinvolto nel trattamento dei dati i
principi fondamentali della legge, le misure di sicurezza da adottare e le linee guida
comportamentali per il corretto utilizzo degli strumenti aziendali.
Formazione sul campo
La formazione sul campo è la modalità di formazione che offre maggiore capacità di
coinvolgere e responsabilizzare direttamente i partecipanti.
Infatti si contraddistingue per un elevato livello di interattività e per l’analisi ed il
continuo confronto delle situazioni lavorative affrontate, facilitando in tal modo la
riflessione di coloro che sono coinvolti nell’attività formativa.
Consente inoltre una maggiore finalizzazione rispetto agli obiettivi aziendali, minori
problemi rispetto ai turni e allo straordinario e una riduzione dei costi anche dei
docenti.
Come ulteriore e non meno importante beneficio è vi è la possibilità che nel corso
degli incontri vengano raccolte direttamente attraverso gli operatori le informazioni
sull’effettivo stato di applicazione della normativa e sulle problematiche e le criticità
rilevate. Dalla discussione emergono inoltre quasi sempre indicazioni su interventi di
risoluzione dei problemi e sulle aree di miglioramento, che possono essere sintetizzate
e riportate alla Direzione aziendale.
Corsi per ogni tipologia di azienda
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 18/24
Pur essendo molte le problematiche comuni nell’applicazione della normativa, le
aziende private, le pubbliche amministrazioni locali, le aziende sanitarie, le scuole, le
associazioni di categoria devono far fronte ad esigenze connesse con la caratteristica
della propria attività e debbono spesso obbedire a specifiche disposizioni di legge e a
provvedimenti del Garante Privacy. Per rispondere a queste esigenze Polimatica
Progetti ha predisposto per queste aziende corsi di tipo mirato, che prevedono la
trattazione di numerosi casi pratici.
Corso per Amministratori di Sistema
Chi ricopre questo ruolo in azienda ha potenzialmente accesso a tutti i dati, occorre
quindi adottare cautele particolari. Con gli Amministratori di Sistema approfondiamo il
provvedimento del Garante Privacy in materia di Amministratori di Sistema
relativamente ai compiti svolti in azienda, alle tipologie di dati trattati, alle modalità di
gestione dell’infrastruttura informatica aziendale.
5
CONSULENZA E SERVIZI PER IL MANTENIMENTO
5.1 AUDIT
Per avere un sistema di gestione della Privacy coerente ed efficace nel tempo, occorre
adottare precise misure di sicurezza, procedure e controlli.
Tali requisiti vengono messi in particolare evidenza all’interno del Regolamento
Europeo, anche in relazione all’applicazione del principio di Accountability richiamato
all’interno di quest’ultimo.
È quindi indispensabile che ogni azienda predisponga
Audit di prima parte (Internal Audit).
un piano annuale di Privacy
I principali obiettivi del Privacy Audit sono la valutazione delle conformità ai criteri
(requisiti di legge e requisiti interni all’organizzazione) e l’indicazione delle eventuali
azioni correttive e/o di miglioramento.
Il Privacy Audit viene eseguito da un team di professionisti di Polimatica Progetti
prendendo come riferimento le linee guida ISO 19011 :2012 e prevede le seguenti
fasi:

riesame documentazione

preparazione dell’Audit (checklist dei criteri da verificare e delle risorse
coinvolte)

svolgimento dell’Audit in campo

predisposizione del rapporto dell’Audit
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 19/24

chiusura dell'Audit e indicazioni sulle azioni correttive e/o di miglioramento.
Per maggiore chiarezza è bene ricordare che il Privacy Audit e il Privacy Assessment
differiscono per modalità di svolgimento e obiettivi; per un coerente ed efficace
Sistema di Gestione Privacy è consigliabile effettuare prima di tutto l’Assessment e,
una volta completato il processo di adeguamento iniziale, una serie di Audit da
pianificare nel tempo.
5.2 PRIVACY GESTITA
Aggiornare e mantenere nel tempo tutti gli adempimenti previsti dal D. Lgs. 196/2003
e successivi, applicare i vari e sempre più frequenti provvedimenti dell’Autorità
Garante per la Privacy, richiede alle aziende di impiegare loro risorse per un numero
significativo di giornate lavorative all’anno. L’impegno è determinato non soltanto
dalla necessità di rivedere la documentazione di legge periodicamente e ogniqualvolta
necessario, ma anche di mantenersi aggiornati in maniera costante sulle modifiche di
legge e sui provvedimenti, comunicati e newsletter del Garante che possono avere
effetto di legge.
Il servizio di Privacy Gestita
Polimatica Progetti ha costruito negli anni e mantiene sempre aggiornato un bagaglio
di conoscenze e competenze in materia di sicurezza dei dati e privacy, ed è pertanto
in grado di fornire un insieme qualificato di servizi per supportare la gestione di tutte
le problematiche legate all’applicazione efficace e continua della normativa:

aggiornamento della documentazione di legge (informative, consenso, lettere di
nomina);

attività periodiche di verifica, internal auditing;

analisi periodiche dei rischi;

test periodici di vulnerabilità su reti e sistemi;

aggiornamento periodico del DPSS o documentazione equivalente;

formazione continua e aggiornamento dei responsabili e degli incaricati del
trattamento dei dati;

consulenza e supporto sugli aggiornamenti di legge e sui provvedimenti e
comunicazioni del Garante

consulenza legale da parte di un avvocato specializzato in materia di Privacy

assistenza in caso di visite ispettive da parte delle Autorità di Controllo
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 20/24

servizio di newsletter.
Benefici per l’Azienda

Riduzione significativa dell’impegno di risorse interne, che possono in tal modo
concentrarsi maggiormente sulla missione aziendale.

Garanzia di aggiornamento costante sulle novità di legge e su quelle di fonte
Garante Privacy.

Qualità ed esperienza del supporto.

Il costo dell’assistenza a canone è un costo “certo”, i costi di un’assistenza di
tipo continuativo sono inferiori a quelli sopportati in caso di richiesta di
interventi occasionali e in assenza di canone.

Gli interventi possono essere “diluiti” nel corso dell’anno evitando attività
frettolose e a rischio di errori in prossimità delle scadenze.

I servizi compresi
dell’azienda.

Sono previste tariffe agevolate per le attività non comprese nel canone.
nel
canone
possono
essere
dimensionati
a
misura
Modalità di erogazione del servizio di Privacy Gestita
Poiché ogni azienda presenta caratteristiche ed esigenze proprie, il pacchetto di servizi
viene definito a misura dell’azienda.
Una volta identificato il pacchetto di servizi, viene calcolato un canone per l’erogazione
degli stessi.
Il contratto ha durata triennale e il prezzo del canone resta inalterato per i tre anni di
validità.
6
PRIVACY OFFICER
Il Responsabile della Protezione dei Dati o Data Protection Officer, detto comunemente
“Privacy Officer” è una delle figure cardine previste dal Regolamento Europeo per la
Protezione dei Dati Personali la cui approvazione definitiva è prevista entro il 2015.
Ogni pubblica amministrazione, azienda o gruppo di aziende con certe dimensioni e
caratteristiche per quantità e tipologia di dati trattati, dovrà obbligatoriamente
designare, tra i propri collaboratori o all’esterno con contratto di servizio, una figura
che avrà - tra gli altri - i seguenti compiti:
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 21/24

Informare e consigliare in merito agli obblighi derivanti dalla normativa e
conservare la documentazione da questa prevista.

Sorvegliare l’attuazione delle politiche di protezione dei dati da parte del
Titolare del trattamento e degli incaricati, compresi l’attribuzione di ruoli e
responsabilità, la formazione del personale e gli audit.

Sorvegliare l’applicazione della normativa con particolare riguardo ai requisiti di
protezione dei dati fin dalla progettazione, la protezione di default, la sicurezza
dei dati, l’informazione dell’interessato e le richieste di esercizio dei diritti

Garantire la conservazione della documentazione.

Controllare che le violazioni dei dati personali siano documentate, notificate e
comunicate.

Controllare che per ogni nuovo trattamento venga effettuata la valutazione
d’impatto e venga richiesta l’autorizzazione o la consultazione preventiva nei
casi previsti.

Fungere da punto di contatto per l’autorità Garante e cooperare con questa in
caso di richieste.
Il Privacy Officer dovrà avere un ruolo autonomo e indipendente all’interno
dell’organizzazione, compatibile e privo di conflitti di interesse con eventuali altri ruoli
ricoperti, e riferirà direttamente al Titolare del trattamento. Dovrà possedere
conoscenza approfondita della normativa, competenze informatiche, conoscenza dei
processi aziendali e caratteristiche personali quali leadership, qualità comunicative,
capacità di gestire i rapporti interpersonali, proattività connesse alla identità
manageriale con la quale tale figura viene caratterizzata all’interno del Regolamento
Europeo.
Anni di esperienza presso aziende e pubbliche amministrazioni di ogni dimensione,
formazione continua, compresa il Master per consulente della Privacy e Privacy Officer
organizzato da Federprivacy, qualità personali e capacità manageriali fanno sì che i
nostri consulenti siano già preparati a ricoprire presso i nostri clienti questa delicata e
importante mansione.
In virtù del ruolo attribuito al Privacy Officer è importante che le competenze e le
caratteristiche che gli vengono richieste siano adeguatamente certificate: è per questo
motivo che TÜV Italia, insieme con Federprivacy, ha promosso la certificazione della
figura professionale di “Privacy Officer e Consulente della Privacy” in accordo con i
requisiti della norma UNI CEI EN ISO/IEC 17024.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 22/24
Per il conseguimento della certificazione il candidato viene sottoposto a un processo di
valutazione della formazione scolastica, dell’esperienza lavorativa, della formazione
specialistica (i.e. superamento del master per Privacy Officer e Consulente della
Privacy), che viene concluso da un esame finale scritto e orale davanti a una
commissione di esperti. Per il mantenimento della certificazione il Privacy Officer
dovrà dimostrare di curare l’aggiornamento professionale, continuare a svolgere
l’attività professionale nel settore, e rispettare il Codice Deontologico.
7
PRIVACY E QUALITÀ
La costruzione di un sistema che assicuri anche nel tempo un efficace mantenimento
della compliance normativa passa attraverso la adozione di un vero e proprio Sistema
di Gestione della Privacy inteso come un insieme di documenti, misure, procedure,
controlli esteso a tutti i requisiti normativi.
Anche al Sistema di Gestione della Privacy può essere applicato pertanto il modello
conosciuto come "Plan-Do-Check-Act" (PDCA) che trova applicazione nei Sistemi di
Gestione della Qualità, e che può essere brevemente descritto come segue:
Plan: stabilire gli obiettivi ed i processi necessari per fornire risultati in accordo con i
requisiti (normativi, aziendali) e con le politiche dell'organizzazione;
Do: dare attuazione ai processi;
Check: monitorare e misurare i processi ed i prodotti a fronte delle politiche, degli
obiettivi e dei requisiti relativi ai prodotti e riportarne i risultati;
Act: adottare azioni per migliorare in modo continuo le prestazioni dei processi.
Viene a questo punto spontaneo – oltre a risultare efficace – integrare il Sistema di
Gestione della Privacy con il Sistema di Gestione Qualità, in termini di :

Documentazione

Registrazioni

Procedure

Gestione delle risorse

Monitoraggio

Azioni di miglioramento
Il risultato della integrazione sarà un sistema più facile da adottare e da mantenere,
più efficace per raggiungere gli obiettivi, più semplice e privo di ridondanze o
duplicazioni di documenti e procedure.
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 23/24
Polimatica Progetti S.r.l.
Sede: Via Dogali 8 – 44121 Ferrara - tel. 0532.1861.799 fax 0532.1911.522
Filiale: C.so Francia 229.- 10098 Rivoli – (TO) – tel 011.9578.410 fax 011.9578.430
Ufficio commerciale Tre Venezie: Via Teofilo Folengo 15 – 35141 Padova – tel. e fax 049.8721416
Pag. 24/24