Tag: Operation

Posted on

GDPR – Pubblicato il “nuovo” Codice Privacy

GDPR, lo scorso 4 settembre è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto legislativo del 10 Agosto riguardante il nuovo “codice della privacy italiano” rubricato: Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il nuovo codice privacy entrerà in vigore il prossimo 19 settembre e prevede 8 mesi di “ragionevolezza” del Garante nell’applicazione delle sanzioni, formalizzando un intento già promosso in passato dal Garante stesso (vedi articolo qui).

La commissione ha deciso di novellare il codice privacy esistente, nonostante il GDPR abbia introdotto un importante cambiamento di approccio, introducendo il principio di accountability. Una scelta che mira a garantire la continuità, facendo salvi per un periodo transitorio i provvedimenti del Garante, le autorizzazioni generali e i codici deontologici, oggetto di un futuro riesame.

Scelta abbastanza impopolare: il Codice Privacy è stato in passato oggetto di diversi aggiornamenti e l’ultima rivisitazione ha complicato l’interpretazione del testo.

Il nuovo Decreto Legislativo 101 del 10 agosto allinea quindi il Codice Privacy al GDPR e formalizza, in considerazione della complessità del GDPR ma sempre compatibilmente con il Regolamento, un approccio ragionevole nella applicazione delle sanzioni amministrative nei primi 8 mesi di applicabilità.

Ancora, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante individui modalità semplificate di implementazione del GDPR.

Attenzione a cantare vittoria, le semplificazioni potranno interessare le modalità di adeguamento ma non certo gli obblighi previsti dal GDPR, anche in considerazione del fatto che dallo scorso maggio le aziende dovrebbero aver già provveduto ad adeguarsi al Regolamento.

Esistono alcuni casi particolari, ad esempio, i dati relativi alla salute saranno oggetto di uno specifico provvedimento del Garante che con cadenza biennale sarà chiamato ad individuare le specifiche misure di garanzia e condizioni di trattamento applicabili.

Ancora, per il trattamento dati in ambio di rapporti di lavoro e di ricerca scientifica, il Garante potrà adottare delle specifiche regole deontologiche.

Le aziende possono continuare a delegare internamente specifici compiti in materia privacy (il vecchio responsabile interno del trattamento sopravvive, anche se cambia nome) e soprattutto possono scegliere come, in concreto, autorizzare il personale al trattamento dei dati, beneficiando di una certa discrezionalità nel definire il proprio modello organizzativo privacy.

Possiamo concludere che il nuovo Codice Privacy lascia di fatto aperte diverse questioni che saranno chiarite nei prossimi mesi dal Garante.

La sfida per il corretto adeguamento continua.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

Workflow – Cos’è e perché te ne occorre uno

Cerchiamo di capire cosa si intende quando si parla di workflow e per quale motivo ti suggerisco di individuarne uno.

Ultimamente sto affrontando spesso questo tema, con particolare riferimento alla introduzione di un BPM (Business Project Managment, di cui riparleremo in futuro).

Il Workflow è la sequenza di processi attraversati da una attività lavorativa.

Operativamente è il metodo con cui evadi i tuoi task.

È applicabile a tutte le attività, la formulazione di una offerta commerciale, la convocazione e la preparazione di un meeting, l’organizzazione di un evento ecc.

Probabilmente esegui workflow tutti i giorni senza neanche rendertene conto! Ad esempio, ammettiamo che la tua lavanderia sia sullo stesso percorso del calcetto dove accompagni i bambini, che accidentalmente coincide con quello della tua pasticceria preferita.

Tutti i giovedì, quando i bambini hanno la partita, porti i panni in lavanderia e dopo il match premi tutta la famiglia con un bel dolce prima di tornare a casa (sia che abbiano vinto, sia che abbiano perso).

Questa sequenza non è altro che un workflow.

Passando al lavoro quotidiano, forse non hai neanche realizzato quando la tua vita potrebbe essere più facile se tu avessi un workflow. Scavare fra le email o in una pila di carte in cerca di informazioni è una perdita di tempo, per fortuna c’è una soluzione.

Puoi applicare i suggerimenti che seguono in diversi modi, puoi ad esempio utilizzare un Project Managment Tool come il mio amato Trello oppure Microsoft Planner, chiedere al tuo IT manager un BPM o semplicemente utilizzare dei contenitori o una lavagna con post-it. Vedrai che le idee salteranno fuori!

PRINCIPALI WORKFLOW

TO-DO – Il fondamentale.

Consiste nel dividere le attività in tre semplici categorie : To Do, Doing, Done.

Le attività scorrono attraverso le tre fasi, se utilizzi una lavagna Kanban, evadere i compiti (svuotare l’elenco delle cose da fare), ti darà una grande soddisfazione.

Spesso si aggiungono altre categorie come “Progetti a lungo termine” o “Stand-by”, per tenere a mente attività non urgenti.

AGILE – Il popolare.

Usato da molti team, nasce all’inizio degli anni 2000 nell’ambiente software con l’obiettivo di ridurre il rischio di fallimento sviluppando il software in finestre di tempo limitate chiamate Iterazioni. Anche se il risultato di ogni singola iterazione non ha sufficienti funzionalità da essere considerato completo deve essere pubblicato e, nel susseguirsi delle iterazioni, deve avvicinarsi sempre di più alle richieste del cliente. Alla fine di ogni iterazione il team deve rivalutare le priorità di progetto.

In pratica consiste nel concentrare e organizzare le attività di un progetto in piccoli intervalli di non più di una/due settimane. Gli intervalli, come abbiamo detto, sono chiamati Iterazioni. Prima di essere iterate, tutte le attività sono categorizzate come “in attesa” e rappresentano il lavoro “arretrato”.

Quando il team è pronto a completare una attività, il team leader la sposta nelle Iterazioni. Una volta terminato il tempo fissato, sono registrati e valutati i risultati con tutto il team e si pianificano le prossime attività.

È il workflow ideale per team i cui componenti hanno attività individuali, per restare allineati sugli obiettivi e mantenere il processo agile e scorrevole.

RICHIESTE FREQUENTI – Per non affogare

È un altro workflow molto popolare per gestire numerose attività legate alla formulazione di richieste che devono essere opportunamente smistate o categorizzate. Può essere applicato in tantissimi casi, per organizzare le mail, per generare lead, per gestire e processare le richieste dei clienti o del tuo superiore.

Ad esempio, ammettiamo che tu sia un fioraio tanto famoso da non riuscire umanamente a gestire gli ordini dei tuoi clienti. Il miglior modo per gestire questa situazione è depositare tutti gli ordini in uno solo posto per poi smistarli con calma in base alla tipologia (bouquet, matrimoni, consegne a domicilio).

Tutte le richieste, che siano mail, WhatsApp, sms, ordini online, telefonate ecc, transitano quindi in una repository (una lista di Trello/Planner, una cartella sharepoint/server, una scatola di cartone…), in attesa di essere smistate magari non solo in base alla categoria ma anche in base alla priorità.

PASSAGGIO DI CONSEGNE – Hai finito la tua parte

Un altro workflow comune è utilizzato nel caso tu debba assegnare a qualcun altro il completamento di un lavoro iniziato da te (e completato per quello che ti compete). Semplicemente, quando completi la tua parte di lavoro passi il risultato a qualcun altro e così via.

Ad esempio, consideriamo che tu e un gruppo di persone stiate lavorando alla progettazione del nuovo sito della vostra società. La prima persona sarà incaricata di scrivere il testo, quindi trasmetterà il lavoro al collega che lo verificherà prima di inviarlo a sua volta al designer per la creazione del mockup…fino a completare il lavoro.

Il passaggio di consegne può avvenire in molti modi, puoi inviare una mail magari mettendo in copia le persone interessate a tenere il flusso sotto controllo ad esempio (ma non esagerare).

CONCLUSIONI

Spero che questa breve panoramica sia stata di aiuto, ricorda che tutti i workflow sono flessibili e devono adattarsi alle tue esigenze. La parte più importante è il lavoro di analisi che moltissime volte di porterà anche a snellire e velocizzare il tuo lavoro.

Aspetto i vostri commenti!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

Il GDPR è un gioco da ragazzi!

Se sei interessato al GDPR ti consiglio il testo “Il GDPR è un gioco da ragazzi” che ho elaborato a supporto di tutti coloro che come me si trovano ad affrontare l’adeguamento al nuovo Regolamento GDPR.

Il lavoro contiene una grande quantità di modelli (nomine, informative, istruzioni) e approfondimenti che sono sicuro ti saranno utili.

Lo puoi trovare su Amazon ed è disponibile per Kindle Unlimited 

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – 5 sorprendenti benefici per chi si adegua

Tutte le organizzazioni stanno investendo grandi risorse ed energie per allinearsi alle nuove disposizioni del GDPR.

La buona notizia è che chi si adegua opportunamente potrebbe ritrovarsi ad avere più di un vantaggio competitivo.

Di seguito vi evidenzio 5 sorprendenti benefici per chi si adegua.

1) Maggiore sicurezza

Il GDPR impone che l’azienda implementi un adeguato livello di sicurezza, sia a livello tecnico che organizzativo, per prevenire la perdita di dati, la perdita di informazioni oltre che operazioni non autorizzate di elaborazione dati.

Ovviamente non esiste alcuna piattaforma che tuteli completamente dalla perdita dei dati. Piuttosto occorre la dinamica combinazione di persone, processi e prodotti.

Il GDPR ha stimolato il confronto tra Management e IT al fine di definire quali dati occorre proteggere, dove risiedono e come vengono salvaguardati. Le Compagnie stanno usando il GDPR anche come leva per discutere i futuri obiettivi in termini di miglioramento della sicurezza e dei processi per assicurare la protezione dei dati.

2) Maggiore consapevolezza della sicurezza

Uno dei principi fondamentali del GDPR è rendere agli individui un maggiore controllo dei loro dati personali, come ad esempio il diritto di chiederne la cancellazione.

Prima che il GDPR diventasse “virale”, molte persone ignoravano che i loro dati sensibili avevano bisogno di protezione, in alcuni casi ignoravano addirittura che fossero raccolti. Le Compagnie, d’altra parte, avevano scarsa sensibilità rispetto alla protezione dei dati e dei diritti individuali.

Il GDPR ha sicuramente forzato le Compagnie ad aumentare il loro livello di protezione ma ha anche elevato la consapevolezza degli utenti.

E la consapevolezza che la sicurezza sia importante, è un vantaggio per tutti.

3) Procedure di sicurezza più snelle

Le Organizzazioni stanno sicuramente investendo tempo e denaro per adeguarsi al GDPR.

La buona notizia è che il lavoro compiuto per analizzare, documentare e manutenere le procedure di sicurezza, verificare l’efficacia dei programmi e risolvere tutti i problemi, porta in molti casi a snellire le procedure. L’analisi rafforzerà inoltre i processi per la valutazione e la mitigazione dei rischi.

4) Maggiore chiarezza sui data-breach

Ogni Organizzazione vittima di data breach dovrebbe informarne partner e clienti. La notifica è a volte una buona abitudine, altre volte un requisito normativo, altre un obbligo contrattuale.

Numerose aziende, negli anni, hanno celato informazioni sulla violazione dei dati che gestivano, comunicando l’avvenimento giorni, settimane o anche molti mesi dopo.

Questo è sicuramente un danno per i clienti ma anche per le Compagnie, danneggiate dalla perdita di immagine.

Il GDPR da istruzioni precise circa tempi e metodi con cui segnalare una violazione dei dati, chiarendo e uniformando lo scenario.

5) Maggiore fiducia

Tendiamo ad assumere che tutti stiano confortevolmente lavorando, facendo shopping o siano intenti in altre attività online, ma non è la regola. Gli utenti della rete sono ancora timorosi e spesso a ragion veduta.

Il GDPR è sicuramente destinato ad aumentare la fiducia degli utenti, articolando chiaramente i rischi legati alla protezione dei dati e ciò che occorre fare per tutelarsi.

La maggiore fiducia porterà ad un aumento dell’attività online con conseguente riduzione dei costi per le Compagnie e una espansione dei servizi.

In effetti, la conformità con GDPR è solo l’inizio.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR, mailing list e double opt-in – In cosa consiste il double opt-in e perché suggerisco di usarlo.

Nell’ambito dell’email marketing, l’opt-in è l’opzione attraverso la quale l’utente esprime il proprio consenso ad essere inserito in una mailing list per ricevere email pubblicitarie o informative.

La Opt-in Page è una Landing Page speciale che ha lo scopo di incrementare la tua lista di contatti, costruendo una rete di potenziali clienti/follower in poco tempo.

Per farla breve, la Opt-in Page ha un solo fine: ottenere l’indirizzo mail degli utenti che stanno visitando il tuo sito invogliandoli (o meglio incentivandoli) ad iscriversi alla tua mailing-list.

Lo strumento è molto utilizzato da chi fa web marketing, gli indirizzi email sono un patrimonio inestimabile perché se gestiti opportunamente con una corretta strategia di Lead Generation, permettono di incrementare le vendite.

Il double opt-in, aggiunge un ulteriore step. In pratica, quando un contatto compila il modulo di iscrizione alla mailing list, riceve una mail che richiede venga confermata l’iscrizione.

Se hai una mailing list e stai usando una strategia diversa dal double opt-in per ottenere il consenso, probabilmente stai facendo un casino.

Attenzione, usare il double opt-in non è obbligatorio ai sensi del GDPR ma è il modo migliore per gestire l’iscrizione alla tua mailing list.

In base al GDPR, non è più sufficiente ottenere il semplice consenso ma è necessario tenere e manutenere un registro di tale consenso. Occorre avere “un timbro e una data”.

Il double opt-in è un grande strumento in quanto restituisce “il timbro e la firma”, in un formato digitale indipendentemente da dove è stato fornito il consenso iniziale effettivo.

La scelta tutela sia l’utente stesso che l’azienda titolare dei dati, quest’ultima ha a disposizione una prova di un consenso autorizzato oltre a una verifica di validità dell’indirizzo inserito.

Il double opt-in è quindi una buona prassi per essere sicuri che tutti abbiano dato il corretto consenso. Non nego che da un punto di vista pratico, l’uso del double opt-in potrebbe rendere più complicato ottenere il consenso e capisco quindi eventuali perplessità vista anche l’assenza di particolari obblighi.

Il GDPR impone però un approccio proattivo per dimostrare di aver fatto il possibile affinché i tuoi contatti non siano tratti in inganno.

Aspetto le vostre considerazioni, buona giornata a tutti!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Organigramma Privacy e descrizione attori principali

Del ruolo del DPO, nuova figura introdotta dal vigente GDPR, abbiamo già parlato qui.

Oggi voglio approfondire il tema dell’organigramma privacy e i suoi relativi attori.

Le figure privacy chiave disciplinate dal GDPR sono il titolare (e i con-titolari), il responsabile (e sub-responsabili), il DPO e gli autorizzati (gli incaricati del vecchio dlgs 196).

IL TITOLARE

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare ha autonomia decisionale in merito alle modalità di trattamento dei dati ed ha i seguenti obblighi:

  • mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento
  • adottare politiche interne conformi al Regolamento
  • essere in grado di dimostrare che il trattamento è conforme al Regolamento (principio dell’accountability)
  • essere in grado di dimostrare di avere adottato misure (organizzative e tecniche) adeguate ed efficaci per la protezione dei dati personali.

IL RESPONSABILE

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

E’ designato dal titolare con un contratto o con altro atto giudico che deve necessariamente disciplinare:

  • la durata, natura e finalità del trattamento
  • le categorie dei dati oggetto del trattamento
  • le categorie di interessati
  • gli obblighi e diritti del titolare
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e del Regolamento.

Con gli stessi obblighi è consentita la nomina di sub-responsabili dedicati a specifiche attività di trattamento. È sempre il responsabile a rispondere di eventuali inadempimenti dei sub-responsabili a meno che sia dimostrabile che l’evento dannoso non gli è in alcun modo imputabile.

IL DPO

Il Data Protection Officer (DPO), altrimenti detto responsabile della protezione dei dati, è designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR. Coopera con l’Autorità (attenzione ai casi in cui vada comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Il DPO ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa. Egli esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o imposizione gerarchica) e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti dovranno fornire risorse adeguate.

Gli autorizzati

La figura  dell’autorizzato (art. 30 del codice privacy) non è presente in nessuna delle altre 27 legislazioni degli Stati membri dell’Unione e di fatto non è una figura autonoma prevista dal GDPR. Il Garante ha avuto non poche difficoltà nell’introdurla nella legge italiana siccome le altre DPA europee ritengono possa creare ambiguità con la figura dei responsabili.

Gli autorizzati (art. 4.1 del codice privacy) sono persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Si tratta di una volontaria responsabilizzazione di queste persone attraverso una specifica lettera di attribuzione di incarico che individui puntualmente l’ambito del trattamento consentito.

ORGANIGRAMMA DELLA PRIVACY

L’organigramma della privacy sarà diverso a seconda delle dimensioni della società
. Le grandi aziende, ad esempio, dotate di risorse economiche adeguate e di profili competenti potranno strutturare le proprie organizzazioni in modo tale da garantire al DPO un ufficio ad hoc ove all’interno opereranno figure esperte di normativa, informatica, risk management, legale e sicurezza aziendale principalmente incaricate del controllo di conformità al GDPR.

Nel contempo, in queste aziende, dovranno essere presenti anche strutture più operative, che si dovranno occupare della concreta realizzazione degli adempimenti normativi previsti dal GDPR.

Pensiamo ad esempio alla redazione dei moduli d’informativa alla clientela, della cura delle nomine a responsabile esterno del trattamento dei dati, la realizzazione del Privacy impact assesment etc.

Anche le aziende di medio grandi dimensioni, sono generalmente già dotate di risorse interne con competenze in risk management, legali, normative, IT, etc., anche se non specializzate in ambito data protection. Un secondo modello organizzativo che potrà quindi essere adottato in molte realtà medio/grandi si baserà su una figura di DPO indipendente, che insieme a un numero contenuto di collaboratori, nello svolgere le proprie attività, potrà avvalersi del supporto e della collaborazione dei vari uffici – compliance, legale, Sicurezza, IT, internal audit – che a diverso titolo e livello contribuiranno al pieno rispetto dei principi sanciti in ambito Privacy.

Soprattutto in una fase di implementazione iniziale del nuovo modello organizzativo, il DPO potrà avvalersi altresì del supporto costante di una società di consulenza esterna, alla quale potrà rivolgersi affinché si possa rafforzare il presidio di conformità al nuovo Regolamento.

Ancora, un ulteriore modello organizzativo potrà prevedere la nomina da parte del titolare o del responsabile di un professionista o un’organizzazione esterna in qualità di DPO.

Aspetto i vostri commenti e suggerimenti, a presto!

29 giugno : articolo aggiornato in base ai graditi suggerimenti di Simone Chiarelli.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e HR: per quanto tempo conservare i dati? Scacco matto in 6 mosse

GDPR e dati dei dipendenti. E’ prassi diffusa applicare il termine di dieci anni (prescritto dal Codice delle Obbligazioni per numerosi documenti amministrativi), anche per alcuni atti personali.

Ad esempio, i documenti necessari per le assicurazioni sociali o la dichiarazione di salario, per allestire o giustificare i certificati di lavoro e per fornire referenze devono essere conservati per dieci anni dopo lo scioglimento del contratto di lavoro.

Cosa cambia con il GDPR?

Il nuovo GDPR indica che i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.

Pertanto, ogni azienda, società o altro tipo di ente dovrà adeguarsi a tale previsione normativa, provvedendo senza ritardo alla cancellazione o alla anonimizzazione dei dati nel momento in cui la conservazione dei dati personali non risulti ulteriormente giustificata.

Cosa cambia per le Risorse Umane?

La regola generale è eliminare i dati nel momento in cui viene meno lo scopo di raccolta degli stessi, a meno che non esistano altri motivi per la conservazione. Il consiglio è quindi di delineare un regolare processo di revisione e di pulizia dei database delle risorse umane.

Il GDPR impone alle Risorse Umane di delineare e spiegare, per ogni categoria di dati personali, il motivo e la durata del trattamento.

Per mettersi al sicuro prova a gestire ogni categoria di dati dei dipendenti con questi 6 passaggi:

  1. Svolgi un audit. Analizza in che modo sono registrate le informazioni, il motivo, la durata e la relativa motivazione;
  2. Nomina un responsabile che sia opportunamente formato;
  3. Valuta i rischi associati alle tue registrazioni. Redigi un documento da allegare al tuo registro dei rischi
  4. Proteggi i dati assicurandoti che siano oggetto di back-up e che non possano essere rubati o manomessi;
  5. Sostieni i diritti individuali. Assicurati di poter accedere, modificare o cancellare i dati se richiesto da un dipendente
  6. Svolgi esami periodici. Controlla i tuoi dati regolarmente e distruggi tutti i record che non ti servono. Se ritieni che alcuni dati debbano essere conservati più a lungo di quanto si pensi, devi ricevere il consenso da tutti i dipendenti coinvolti.

Due buone norme:

  • I documenti concernenti la candidatura (ad esempio curriculum vitae, attestati, diplomi, foto) vanno restituiti al più tardi al termine del rapporto di impiego;
  • I documenti riguardanti le qualifiche, le perizie mediche o i test attitudinali devono essere distrutti o restituiti al più tardi due anni dopo che sono stati redatti.

Da un punto di vista pratico, con il GDPR occorre garantire ai dipartimenti HR i processi e gli strumenti tecnologici adeguati per raccogliere, tracciare, gestire e aggregare in modo affidabile l’ampio volume e la varietà delle informazioni dei dipendenti.

Questo potrebbe essere un obiettivo molto impegnativo per tutte quelle aziende che gestiscono i dati del personale su sistemi diversi (cartelle sul server aziendale, file excel, word, e-mail, ecc.). In queste condizioni, anche fornire una copia al dipendente dei suoi dati, può diventare un compito arduo.

Esistono molti software HR che permettono di gestire i dati dei dipendenti provenienti da diverse fonti per centralizzarli in un’unica piattaforma, facilmente accessibile e con back-up automatici.

E tu che soluzione stai adottando?

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

PMI al via il bonus per la quotazione sotto forma di credito di imposta

Il 19 giugno è stato pubblicato il decreto attuativo che permette di presentare domanda di credito d’imposta a parziale copertura dei costi di consulenza per la quotazione in Borsa delle PMI.

Dal 1° gennaio 2018 al 31 dicembre 2020, costerà quindi meno quotarsi in borsa per le PMI che procedono alla quotazione in un mercato regolamentato o in sistemi multilaterali di negoziazione in uno Stato Ue o aderente al See.

In accordo alla legge di bilancio 2018, sarà riconosciuto sotto forma di credito di imposta il rimborso del 50% delle spese di consulenza sostenute, il tetto massimo è stato fissato in 500 mila euro e il numero minimo di società finanziabili nel triennio è stato fissato in 160.

CHI PUO’ USUFRUIRNE

In accordo alla raccomandazione 2003/361/CE, possono beneficiare della agevolazione tutte le società che, a livello di gruppo, non abbiano più di 250 dipendenti, con un bilancio che non superi 50 milioni di ricavi o 43 milioni di attivo dello stato patrimoniale e che siano in regola con provvedimenti di restituzione di aiuti o di incentivi dichiarati illegittimi.

La domanda di ammissione alla quotazione deve essere presentata dopo il 1° gennaio 2018 e l’ammissione deve essere ottenuta entro fine 2020.

QUALI COSTI SONO AMMISSIBILI

Sono ammissibili i costi sostenuti per le seguenti attività di consulenza esterna legate al processo di quotazione:

  • attività sostenute in vista del processo di quotazione e ad esso finalizzate, come l’implementazione e l’adeguamento del sistema di controllo di gestione, l’assistenza dell’impresa nella redazione del piano industriale, il supporto in tutte le fasi del percorso di quotazione nel mercato di riferimento;
  • attività fornite durante la fase di ammissione alla quotazione e finalizzate ad attestare l’idoneità della società;
  • collocamento delle azioni presso gli investitori;
  • supporto nella revisione delle informazioni finanziarie storiche o prospettiche, nella preparazione di report, e nello svolgimento della due diligence finanziaria;
  • assistenza nella redazione del documento di ammissione e del prospetto o dei documenti utilizzati per il collocamento;
  • questioni legali, fiscali e contrattualistiche strettamente inerenti alla procedura di quotazione come le attività relative alla definizione dell’offerta, la disamina del prospetto informativo o documento di ammissione o dei documenti utilizzati per il collocamento presso investitori qualificati, la due diligence legale o fiscale e gli aspetti legati al governo dell’impresa;
  • attività di comunicazione.

COME ACCEDERE

Per usufruire del credito di imposta occorre inviare domanda fra il primo ottobre dell’anno della quotazione e il 31 marzo dell’anno successivo. L’istanza andrà redatta in accordo al facsimile allegato al DM (che potete trovare su www.gazettaufficiale.it) e inviata all’indirizzo di posta elettronica certificata

dgpicpmi.div05@pec.mise.gov.it

Il ministero, entro la fine di aprile (quindi entro 30 giorni dall’ultima data disponibile) comunicherà alla PMI l’ammissione al beneficio con il relativo importo spettante, in base alle domande complessivamente presentate e ai fondi disponibili.

Il credito di imposta, che va indicato nel quadro RU della dichiarazione, si utilizza in compensazione in F24, senza limiti di importo, e non concorre a formare l’imponibile Ires e Irap.

Voi quali azioni acquisterete?

Qui potete trovare il testo integrale.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e Mail – Come spedire allegati in sicurezza?

Ad alcuni di voi potrebbe capitare di dover spesso inviare mail contenenti dati sensibili. Vi siete chiesti come comportarvi in relazione al nuovo GDPR?

Società specializzate nella esecuzione di lavori in subappalto per grandi committenti, professionisti del giornalismo, commerciali, sono tutti profili che utilizzano la mail per condividere la copia del passaporto, visti, e altri documenti contenenti dati personali.

Ricordo che “Dato personale” è qualsiasi informazione (nome, codice fiscale, immagine, voce, impronta digitale, traffico telefonico) concernente una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.

Ho svolto qualche ricerca e devo ammettere che non sono molto soddisfatto dei risultati.

Il problema è reale, le mail possono in teoria essere “lette” attraverso ognuno dei molteplici server che attraversano. Le virgolette sono d’obbligo in quanto non si tratta certo di una persona fisica ma del pericolo che qualche software possa captare informazioni riservate.

Non dimentichiamo poi quanto sia comune inviare una mail ad un errato destinatario.

La soluzione vincente potrebbe essere criptare di default tutte le mail in modo che possano essere decriptate solo dal destinatario “certificato”. Purtroppo sembra che questa soluzione sia ancora lontana, la criptazione è un processo troppo pesante per le persone che vogliono in fondo inviare solo un messaggio.

Solo le grandi organizzazioni hanno servizi mail criptati come NHS ma una soluzione del genere non può venire in aiuto alle PMI e ai professionisti.

Un’altra soluzione potrebbe essere affidarsi a servizi mail come la svizzera ProtonMail  e la tedesca Tutanota ma spesso occorre inviare ai destinatari una password via sms per decriptare le mail.

Tutanota invia al destinatario una mail “Hai ricevuto un messaggio criptato”, devi seguire il link per leggerlo e rispondere via browser. Se desideri conservarne una copia devi esportare la mail, decisamente poco comodo anche se efficace.

Esistono anche plug-in per Gmail e Outlook come quello offerto da streak oppure da mapilab ma non ho ancora avuto modo di testarli.

A mio avviso una buona idea è utilizzare le soluzione Cloud di Microsoft Office365 e Google Gsuite: create una cartella contenente i file, configurate le impostazioni di condivisione e inviate il relativo link al destinatario.

Ancora, tutti i documenti Office permettono velocemente di impostare una password di protezione dal menu file.

Ovviamente i casi più comuni riguardano file JPEG, PNG, PDF. In questo caso consiglio di comprimerli in un file Zip o Rar e proteggerli con una password.

Mi riprometto di approfondire l’argomento e proporre ulteriori soluzioni, nel frattempo aspetto le vostre segnalazioni!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Esempi free di Registro dei Trattamenti

Il nuovo regolamento sulla Privacy, GDPR, introduce il Registro dei Trattamenti come strumento per tenere sotto controllo le operazioni di trattamento dei dati che vengono effettuate all’interno delle Organizzazioni.

Sebbene non obbligatorio per le aziende e gli enti con meno di 250 dipendenti, a mio avviso è SEMPRE opportuno utilizzare il Registro dei Trattamenti come valido strumento per gestire non solo i dati collezionati ma anche i diritti degli interessati.

La sua compilazione offre un momento di ricognizione, la radiografia del patrimonio informativo e il motivo per cui si trattano determinati dati. L’occasione per identificare il superfluo e disfarsene.

In rete sono disponibili diverse risorse gratuite:

REGISTRO SEMPLIFICATO

Probabilmente il migliore strumento con cui partire per prendere confidenza con il Registro dei Trattamenti e strutturare in seguito opportunamente il Registro Ufficiale.

Si può scaricare qui, è in lingua italiana e comprende due schede: un foglio nel quale inserire i dati della Organizzazione e il Registro dei Trattamenti.

La scheda Registro contiene i seguenti campi:

  • Trattamento: il tipo di trattamento
  • Dipartimento: unità responsabile (es. marketing)
  • Finalità: finalità del trattamento
  • Tipi di dati: categorie di dati trattati
  • Categoria degli interessati: classificazione degli interessati
  • Categoria dei destinatari: classificazione di chi è destinatario dei dati
  • Consenso/Informativa/Termini ultimi di conservazione: data di inizio e di fine dei consensi e conservazione
  • Misure di sicurezza: misure procedurali e tecnologiche adottate per la protezione dei dati personali
  • Contitolare del trattamento
  • Rappresentante del trattamento
  • Responsabile del trattamento
  • Garanzie di trasferimento: in caso di trasferimento dei dati verso paesi esteri o organizzazioni internazionali è necessario elencare i documenti che salvaguardano e garantiscono dati e processo

MODELLO CNIL

Ne abbiamo già parlato precedentemente, l’Autority francese ha rilasciato un comodissimo strumento sempre in formato Excel, in lingua francese e scaricabile cliccando qui.

Contiene per altro la lista dei paesi aderenti e non aderenti, ed è diviso in tre schede:

  • Lista dei trattamenti
  • Modello scheda trattamento

Trattasi di un buon prodotto che però vi consiglio di integrare con piccoli accorgimenti come il collegamento ipertestuale tra la lista dei trattamenti e le rispettive schede (oltre che tradurlo in Italiano/Inglese)

MODELLO CPP

Anche l’Autority belga ha prodotto un utile registro dei trattamenti in lingua inglese e scaricabile gratuitamente qui.

Il documento in formato excel è diviso in 5 schede:

  • Identificazione dell’organizzazione che gestisce il registro
  • Il registro corrente
  • Elenchi di valori che vengono in aiuto per completare il registro
  • Manuale d’uso
  • Mappatura del registro

Spero vi sia utile, a presto!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime