[grey]

Ciao a tutti,
Nuove sul campo della privacy,

Il Garante non ha ancora pubblicato le linee guida ufficiali, quindi siamo ancora in attesa di compilare i nuovi contratti con le eventuali modifiche.

Abbiamo pubblicato il DPA (Data Processing Agreement) che e' fruibile alla url:
https://wubook.net/shstatic/dpa.html
Che e' il documento che potete allegare ai vostri contratti, nominandoci come Gestore dei dati (Data processor).
Non e' necessario che venga siglato un contratto, al momento dell'accettazione del nuovo contratto verra' incluso anche il DPA.

Questo documento descrive le modalita' di gestione dei dati e subita' le modifiche per allinearsi alle eventuali revisione del Garante.

Appena possibile vi aggiorneremo qui sulle evoluzioni.

Grazie per l'informazione. In concreto, però, cosa devo fare? devo stampare firmare e consegnare il documento alla società che mi ha venduto il gestionale (GreenConsulting, oppure devo inviarlo a voi tramite questa piattaforma?

Grazie!

Spero di darti una risposta chiara perche' e' un poco complessa come regolamentazione,

Per la gestione di servizi esterni a Wubook (PMS, booking engine, etc...), se non cambiano le direttive, sono da considerare gestori a parte. ( sez 8. THIRD PARTY DATA PROCESSORS),

Quindi Wubook e' esterna a loro, e voi come titolari del dato avrete piu' gestori dello stesso dato personale.

Sono contratti separati tra loro, quindi se dovrete modificare o rendere anonimi i dati (su richiesta del diretto interessato) le attivita' saranno gestire separatamente.

Questo non e' legato se il gestionale e' ZAK, essendo un servizio di Wubook basta solo una segnalazione.

Riassumendo,
Per noi e' sufficiente che voi accettiate il nuovo contratto della privacy (che sara' pronto a breve), per gli altri sentite i diretti interessati.

Perfetto grazie!

vi allego delle novita' appena apprese dal nostro certificatore, allego il testo della mail (togliendo solo i recapiti)
###############################################
Buongiorno a tutti,

ieri il Garante ha approvato lo schema di decreto attuativo per il recepimento da parte dell’Italia del GDPR.
Il decreto sarebbe anche dovuto diventare una legge a tutti gli effetti entro il 21 maggio, ma è stata decisa una proroga di tre mesi. L’esame del decreto e l’eventuale approvazione da parte del Parlamento avverrà entro il 23 giugno.
Di solito è il Garante che potrebbe non ritenere opportuni alcuni contenuti e il passaggio in Parlamento è una mera formalità, per cui potremmo già considerare definitivo il testo, a meno ovviamente di modifiche dell’ultimo minuto.

Vi riassumo qui di seguito le parti più salienti che trovano un riscontro nelle vostre attività (molte parti sono dedicate ad enti pubblici, sanità, giustizia; sono interessanti quando si è gli interessati i cui dati sono trattati dagli enti):

- innanzitutto il D.lgs. 196/03 non viene abrogato ma integrato con le disposizioni del GDPR: in tutti i documenti è quindi corretto lasciare ancora la sua indicazione;
- rimangono valide tutte le disposizione del D.lgs. 196 che trovano riscontro anche nel GDPR, mentre vengono eliminate quelle in palese contraddizione (una su tutte la richiesta di adottare le misure minime di sicurezza e le relative sanzioni in caso di mancata implementazione);
- rimangono validi i provvedimenti del garante (amministratori di sistema, uso email e web in azienda, dismissione di supporti contenenti dati, …);
- rimangono le autorizzazioni generali per il trattamento dei dati sensibili e giudiziari, che il Garante rinnoverà ogni 2 anni (quelle attualmente in vigore restano valide sino al rinnovo / revoca);
- rimangono i concetti di comunicazione e diffusione dei dati. Comunicazione = dare conoscenza dei dati a soggetti determinato (es. passarli ad un’altra società che collabora al loro trattamento); diffusione = dare comunicazione a soggetti indeterminati (es. pubblicarli sulla stampa o sul web);
- verranno emessi dei codici deontologici per il trattamento dei dati da parte di alcune categorie di titolari (in attesa dell’emissione restano validi quelli attualmente in vigore);
- come era prevedibile, l'ente che nel GDPR è indicato come Autorità di Controllo è il Garante per la Protezione dei Dati Personali;
- nel GDPR non sono citati espressamente gli incaricati al trattamento: per la normativa italiana continueranno ad esistere e le modalità da adottare per la loro nomina sono lasciate a discrezione di ciascun titolare. Il sistema adottato fino adesso (lettere nominative o lettere generiche e lista degli incarichi) può continuare ad essere utilizzato;
- per i cv ricevuti spontaneamente non serve né informativa né consenso; l’informativa verrà resa solo nel momento in cui il candidato sarà contattato. Non devono essere quindi cestinati i cv che non riportano la classica frase “autorizzo al trattamento dei miei dati personali …”;
- non è più necessario notificare al garante il trattamento di dati sensibili / giudiziari che esula dalle autorizzazioni generali;
- verranno emesse delle semplificazioni per le micro, piccole e medie imprese.

Vi terrò informati sull’iter di approvazione.

Cordiali saluti

################################################