Studio Professionale Dr. Maurizio Iacopozzi

Dottore Commercialista – Revisore Contabile

Modello Organizzativo Privacy

Modello Organizzativo Privacy (MOP mistudioprofessionale)

TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI

Il Titolare del trattamento è definito al c. 7 dell’art. 4 del Regolamento UE come “la persona fisica o giuridica, l’Autorità Pubblica, il servizio o altro Organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Il Titolare del trattamento di tutti i dati personali è stato individuato nel:

Dr. Maurizio Iacopozzi Studio Professionale

I dati di contatto del Titolare sono pubblicati sul web: www.mistudioprofessionale.com

 

Compiti e Responsabilità

Il Titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali stabiliti dall’art. 5 del Regolamento UE:

  • liceità, correttezza e trasparenza;
  • limitazione della finalità;
  • minimizzazione dei dati;
  • esattezza dei dati;
  • limitazione della conservazione;
  • integrità e riservatezza.

Il Titolare deve mettere in atto le misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento di dati personali è effettuato in modo conforme al Regolamento UE. Tali misure sono definite fin dalla fase di progettazione e messe in atto per applicare in modo efficace i principi di protezione dei dati e per agevolare l’esercizio dei diritti dell’interessato stabiliti dagli articoli che vanno dal 15 al 22 del Regolamento UE.

Il Titolare deve:

  1. fornire all’interessato le informazioni relative al trattamento dei dati che lo riguardano, ai sensi dagli artt. 13 e 14 del Regolamento UE;
  2. effettuare una valutazione dell’impatto del trattamento sulla protezione dei dati personali (in seguito DPIA), nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, come previsto dall’art. 35 del citato Regolamento UE.
  3. La DPIA è condotta prima di dar luogo al trattamento, attraverso la descrizione sistematica del contesto, dei trattamenti previsti, delle finalità del trattamento e tenendo conto dell’osservanza di codici di condotta approvati, della valutazione della necessità e proporzionalità dei trattamenti, sulla base delle finalità specifiche, esplicite e legittime, della liceità del trattamento, dei dati adeguati, pertinenti e limitati a quanto necessario, del periodo limitato di conservazione, delle informazioni fornite agli interessati, del diritto di accesso, del diritto di rettifica, di opposizione e limitazione del trattamento, dei rapporti con i Responsabili del trattamento (art. 28). Occorre altresì considerare la valutazione dei rischi per i diritti e le libertà degli interessati, individuando le misure previste per affrontare ed attenuare i rischi, assicurare la protezione dei dati personali e dimostrare la conformità del trattamento con il Regolamento UE, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. Il Titolare si avvale della consulenza del Responsabile della protezione dei dati per definire la necessità di condurre o meno una DPIA, di individuare la metodologia da adottare e le misure tecniche e organizzative da mettere in atto al fine di attenuare i rischi delle persone interessate nonché di verificare la corretta esecuzione della valutazione di impatto e della conformità degli esiti raggiunti con la normativa vigente.
  4. redigere i registri delle attività di trattamento se sottoposto ad obbligo per dimensioni e tipologia di dati trattati. Ai sensi dell’art. 30 ogni Titolare del trattamento deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro deve contenere tutte le informazioni relative a:
  • il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del Contitolare del trattamento
  • dati di contatto dei Responsabile della protezione dei dati;
  • le finalità del trattamento;
  • le categorie di interessati
  • le categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • le misure di sicurezza tecniche e organizzative adottate.

 

Qualora il Titolare fosse individuato quale Responsabile del trattamento, ai sensi dell’art. 28 del Regolamento UE, il Titolare deve redigere altresì il registro del Responsabile, contenente le seguenti informazioni:

  • il nome e i dati di contatto del Responsabile o dei Responsabili del trattamento;
  • il nome e i dati di contatto di ogni Titolare del trattamento per conto del quale agisce il Responsabile del trattamento;
  • il nome e i dati di contatto del Responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni Titolare del trattamento;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative messe in atto;
  • nominare il Responsabile della protezione dei dati (DPO);
  • nominare quale Responsabile del trattamento, ai sensi dell’articolo 28 Regolamento UE, (allegato n. 1) i soggetti pubblici o privati affidatari di attività e servizi per conto del Titolare;
  • nominare i Responsabili interni del trattamento (allegato n. 2).

 

RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (DPO)

Il Regolamento UE introduce, all’art. 37, una nuova figura, reclutata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere ai compiti assegnati.

Il Responsabile della protezione dei dati può essere un dipendente del Titolare del trattamento o assolvere i suoi compiti in base a un contratto di servizi.

Il Dr. Maurizio Iacopozzi Studio Professionale, non ha nominato nessun Responsabile per la protezione dei dati personali (DPO) ai sensi dell’art. 37 del Reg. 679/16, in quanto, per dimensioni e struttura non obbligato. Ha però individuato nel Dr. Maurizio Iacopozzi la persona di riferimento interna quale responsabile per la protezione dei dati personali (Referente).

 

Compiti e Responsabilità

Il Responsabile della protezione dei dati svolge i seguenti compiti:

  • informare e fornire consulenza al Titolare nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati. In tal senso può indicare al Titolare del trattamento i settori funzionali ai quali riservare degli audit interno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali e a quali trattamenti dedicare maggiori risorse ed attenzione in relazione al rischio riscontrato;
  • sorvegliare l’osservanza della normativa relativa alla protezione dei dati, fermo restando le responsabilità del Titolare del trattamento. Fanno parte di questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini della loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti del Titolare;
  • sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal Titolare del trattamento;
  • fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 Regolamento UE;
  • effettuare, se del caso, consultazioni relativamente a ogni altra questione purché si assicuri l’assenza di conflitto di interesse. La figura del Responsabile della protezione dei dati, infatti, è incompatibile con chi determina le finalità o i mezzi del trattamento, tra cui il Responsabile del Servizio di Protezione e Prevenzione, dell’Anticorruzione e Trasparenza, dei Sistemi informativi e/o di qualunque incarico o funzione che comporta la determinazione di finalità o mezzi del trattamento.

Il Titolare assicura che il Responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. A tal fine il Responsabile della protezione dei dati deve:

  • essere invitato a partecipare alle riunioni di coordinamento dei Dirigenti/Responsabili che abbiano per oggetto questioni inerenti la protezione dei dati personali;
  • disporre tempestivamente di tutte le informazioni pertinenti le decisioni che impattano sulla protezione dei dati, in modo da poter rendere una consulenza idonea;
  • essere consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.

Nello svolgimento dei compiti affidatigli il Responsabile della protezione dei dati deve debitamente considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. In tal senso quest’ultimo:

  • procede ad una mappatura delle aree di attività valutandone il grado di rischio in termini di protezione dei dati;
  • definisce un ordine di priorità nell’attività da svolgere – ovvero un piano annuale di attività – incentrandola sulle aree di attività che presentano maggiori rischi in termini di protezione dei dati.

Il Responsabile della protezione dei dati dispone di autonomia e risorse sufficienti a svolgere in modo efficace i compiti attribuiti, tenuto conto delle dimensioni organizzative e delle capacità di bilancio dell’Ente. Il Titolare deve fornire al DPO le risorse necessarie per assolvere i compiti attribuiti e per accedere ai dati personali ed ai trattamenti. In particolare deve essere assicurato al Responsabile della protezione dei dati:

  • supporto attivo per lo svolgimento dei compiti da parte dei Dirigenti/Responsabili e degli altri Organi di natura amministrativa;
  • supporto adeguato in termini di risorse finanziarie, infrastrutturali e personali;
  • accesso garantito ai settori funzionali dell’Azienda così da fornirgli supporto, informazioni e input essenziali.

Il DPO opera in posizione di autonomia nello svolgimento dei compiti allo stesso attribuiti; in particolare, non deve ricevere istruzioni in merito al loro svolgimento né sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati, non può essere rimosso o penalizzato dal Titolare per l’adempimento dei propri compiti.

Ferma restando l’indipendenza nello svolgimento di detti compiti, il DPO riferisce direttamente al Titolare. Nel caso in cui siano rilevate dal DPO o sottoposte alla sua attenzione decisioni incompatibili con il Regolamento UE e con le indicazioni fornite dallo stesso DPO, quest’ultimo è tenuto a manifestare il proprio dissenso, comunicandolo al Titolare ed al Responsabile del trattamento.

Il DPO si avvale anche del Responsabile della sicurezza dei dati.

RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (REFERENTI)

Il Responsabili per la protezione dei dati personali (Referente) viene nominato dal Titolare del trattamento dei dati personali.

Il Dr. Maurizio Iacopozzi Studio Professionale in qualità di Titolare del trattamento dei dati personali gestiti dal mistudioprofessionale ha nominato quale Responsabile per la protezione dei dati personali (Referente) il Signor:

Maurizio Iacopozzi

I dati di contatto del Responsabile per la protezione dei dati personali (Referente) sono pubblicati sul web: www.mistudioprofessionale.com

 

Compiti e Responsabilità

Ai sensi dell’art. 11 del Codice, che prescrive le “Modalità del trattamento e requisiti dei dati”, per ciascun trattamento di propria competenza, il RESPONSABILE deve fare in modo che siano sempre rispettati i seguenti presupposti:

i dati devono essere trattati:

  • secondo il principio di liceità, vale a dire conformemente alle disposizioni del Codice, nonché alle disposizioni del Codice Civile, per cui, più in particolare, il trattamento non deve essere contrario a norme imperative, all’ordine pubblico ed al buon costume;
  • secondo il principio fondamentale di correttezza, il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui;

i dati devono essere raccolti solo per scopi:

  • determinati, vale a dire che non è consentita la raccolta come attività fine a se stessa;
  • espliciti, nel senso che il soggetto interessato va informato sulle finalità del trattamento;
  • legittimi, cioè, oltre al trattamento, come è evidente, anche il fine della raccolta dei dati deve essere lecito;
  • compatibili con il presupposto per il quale sono inizialmente trattati, specialmente nelle operazioni di comunicazione e diffusione degli stessi;

i dati devono, inoltre, essere:

  • esatti, cioè, precisi e rispondenti al vero e, se necessario, aggiornati;
  • pertinenti, ovvero, il trattamento è consentito soltanto per lo svolgimento delle funzioni istituzionali, in relazione all’attività che viene svolta;
  • completi: non nel senso di raccogliere il maggior numero di informazioni possibili, bensì di contemplare specificamente il concreto interesse e diritto del soggetto interessato;
  • non eccedenti in senso quantitativo rispetto allo scopo perseguito, ovvero devono essere raccolti solo i dati che siano al contempo strettamente necessari e sufficienti in relazione al fine, cioè la cui mancanza risulti di ostacolo al raggiungimento dello scopo stesso;
  • conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione degli atti amministrativi. Trascorso detto periodo i dati vanno resi anonimi o cancellati (art. 16) e la loro comunicazione e diffusione non è più consentita (art. 25).

Ciascun trattamento deve, inoltre, avvenire nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’interessato al trattamento, ovvero deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.

Se il trattamento di dati è effettuato in violazione dei principi summenzionati e di quanto disposto dal Codice è necessario provvedere al “blocco” dei dati stessi, vale a dire alla sospensione temporanea di ogni operazione di trattamento, fino alla regolarizzazione del medesimo trattamento (ad esempio fornendo l’informativa omessa), ovvero alla cancellazione dei dati se non è possibile regolarizzare.

Ciascun RESPONSABILE deve, inoltre, essere a conoscenza del fatto che per la violazione delle disposizioni in materia di trattamento dei dati personali sono previste sanzioni penali (artt. 167 e ss.).

In ogni caso la responsabilità penale per eventuale uso non corretto dei dati oggetto di tutela, resta a carico della singola persona cui l’uso illegittimo degli stessi sia imputabile.

Mentre, in merito alla responsabilità civile, si fa rinvio all’art. 154 del Codice, che dispone relativamente ai danni cagionati per effetto del trattamento ed ai conseguenti obblighi di risarcimento, implicando, a livello pratico, che, per evitare ogni responsabilità, l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire appunto la sicurezza dei dati detenuti.

 Il Responsabile per la protezione dei dati personali (Referente) deve:

  • identificare e censire i trattamenti di dati personali, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività istituzionalmente;
  • predisporre per conto del Titolare del trattamento dei dati il registro delle attività di trattamento da esibire in caso di ispezioni delle Autorità e contenente almeno le seguenti informazioni :
    1. il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del Contitolare del trattamento
    2. dati di contatto dei Responsabile della protezione dei dati;
    3. le finalità del trattamento;
    4. le categorie di interessati
    5. le categorie di dati personali;
    6. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
    7. i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
    8. le misure di sicurezza tecniche e organizzative adottate.
    9. definire, per ciascun trattamento di dati personali, la durata del trattamento e la cancellazione o anonimizzazione dei dati obsoleti, nel rispetto della normativa vigente in materia di prescrizione e tenuta archivi;
  • ogni qualvolta si raccolgano dati personali, provvedere a che venga fornita l’informativa ai soggetti interessati;
  • assicurare che la comunicazione a terzi e la diffusione dei dati personali avvenga solo se prevista da una norma di legge o regolamento o se comunque necessaria per lo svolgimento di funzioni istituzionali.
  • adempiere agli obblighi di sicurezza, quali:
    1. o adottare, tramite il supporto tecnico degli amministratori di sistema, tutte le preventive misure di sicurezza, ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31);
    2. o definire una politica di sicurezza per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e servizi afferenti il trattamento dei dati;
    3. o assicurarsi la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico;
    4. o definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative applicate;
  • in merito agli Incaricati, il RESPONSABILE INTERNO (Referente) deve:
    1. o individuare, tra i propri collaboratori, designandoli per iscritto, gli Incaricati del trattamento11;
    2. o recepire le istruzioni cui devono attenersi gli Incaricati nel trattamento dei dati impartite dal Titolare, assicurandosi che vengano materialmente consegnate agli stessi o siano già in loro possesso;
    3. o adoperarsi al fine di rendere effettive le suddette istruzioni cui devono attenersi gli incaricati del trattamento, curando in particolare il profilo della riservatezza, della sicurezza di accesso e della integrità dei dati e l’osservanza da parte degli Incaricati, nel compimento delle operazioni di trattamento, dei principi di carattere generale che informano la vigente disciplina in materia;
    4. o stabilire le modalità di accesso ai dati e l’organizzazione del lavoro degli Incaricati, avendo cura di adottare preventivamente le misure organizzative idonee e impartire le necessarie istruzioni ai fini del riscontro di eventuali richieste di esecuzione dei diritti di cui all’art. 7;
    5. o comunicare periodicamente, al Responsabile dei Sistemi Informativi Aziendali, l’elenco nominativo aggiornato degli Incaricati al trattamento con relativi profili autorizzativi per l’accesso alle banche dati di pertinenza;
    6. o comunicare tempestivamente, al Responsabile dei Sistemi Informativi Aziendali, qualsiasi variazione ai profili autorizzativi concessi agli Incaricati per motivi di sicurezza.
  • assicurarsi che il trattamento di dati per lo svolgimento di prestazioni sia subordinato alla preventiva acquisizione del consenso, anche in forma orale.
  • comunicare tempestivamente al Titolare del trattamento dei dati eventuali violazioni dei dati (distruzione, perdita, divulgazione illecita o accesso non autorizzato) per i conseguenti adempimenti stabiliti dalla legge;

INCARICATI DEL TRATTAMENTO

Il MOP mistudioprofessionale prevede che ciascun incaricato del trattamento dallo Studio Professionale tratti solo i dati indispensabili per offrire il Servizio richiesto, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato. Pertanto a tal fine il Responsabile interno del trattamento dei dati personali, in riferimento al singolo Servizio, ha nominato ciascun collaboratore dello Studio Professionale quale “Incaricato del trattamento”, vincolandolo ad un ambito specifico di trattamento. A tal fine, by design, anche il sistema informativo aziendale è costituito a “compartimenti stagni”. Il collaboratore può accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. Unitamente alla nomina, ciascun soggetto riceve un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali il collaboratore accede in virtù della sua specifica mansione. Per implementare la sicurezza delle informazioni che ciascun collaboratore tratta, lo Studio Professionale eroga corsi di formazione e aggiornamento sul trattamento dei dati personali ai propri collaboratori incaricati.

 

L’Organigramma degli incaricati viene pubblicato sul web: www.mistudioprofessionale.com

 

Compiti e Responsabilità

Ai sensi dell’art. 11 del Codice, che prescrive le “Modalità del trattamento e requisiti dei dati”, per ciascun trattamento di propria competenza, il COLLABORATORE deve sempre rispettare i seguenti presupposti:

 

  • i dati devono essere trattati:
  1. secondo il principio di liceità, vale a dire conformemente alle disposizioni del Codice, nonché alle disposizioni del Codice Civile, per cui, più in particolare, il trattamento non deve essere contrario a norme imperative, all’ordine pubblico ed al buon costume;
  2. secondo il principio fondamentale di correttezza, il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui;

 

  • i dati devono essere raccolti solo per scopi:
  1. determinati, vale a dire che non è consentita la raccolta come attività fine a se stessa;
  2. espliciti, nel senso che il soggetto interessato va informato sulle finalità del trattamento;
  3. legittimi, cioè, oltre al trattamento, come è evidente, anche il fine della raccolta dei dati deve essere lecito;
  4. compatibili con il presupposto per il quale sono inizialmente trattati, specialmente nelle operazioni di comunicazione e diffusione degli stessi;

 

  • i dati devono, inoltre, essere:
  1. esatti, cioè, precisi e rispondenti al vero e, se necessario, aggiornati;
  2. pertinenti, ovvero, il trattamento è consentito soltanto per lo svolgimento delle funzioni istituzionali, in relazione all’attività che viene svolta;
  3. completi: non nel senso di raccogliere il maggior numero di informazioni possibili, bensì di contemplare specificamente il concreto interesse e diritto del soggetto interessato;
  4. non eccedenti in senso quantitativo rispetto allo scopo perseguito, ovvero devono essere raccolti solo i dati che siano al contempo strettamente necessari e sufficienti in relazione al fine, cioè la cui mancanza risulti di ostacolo al raggiungimento dello scopo stesso;
  5. conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione degli atti amministrativi. Trascorso detto periodo i dati vanno resi anonimi o cancellati (art. 16) e la loro comunicazione e diffusione non è più consentita (art. 25).

 

Ciascun trattamento deve, inoltre, avvenire nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’interessato al trattamento, ovvero deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.

Se il trattamento di dati è effettuato in violazione dei principi summenzionati e di quanto disposto dal Codice è necessario provvedere al “blocco” dei dati stessi, vale a dire alla sospensione temporanea di ogni operazione di trattamento, fino alla regolarizzazione del medesimo trattamento (ad esempio fornendo l’informativa omessa), ovvero alla cancellazione dei dati se non è possibile regolarizzare.

Ciascun COLLABORATORE deve, inoltre, essere a conoscenza del fatto che per la violazione delle disposizioni in materia di trattamento dei dati personali sono previste sanzioni penali (artt. 167 e ss.).

In ogni caso la responsabilità penale per eventuale uso non corretto dei dati oggetto di tutela, resta a carico della singola persona cui l’uso illegittimo degli stessi sia imputabile.

Mentre, in merito alla responsabilità civile, si fa rinvio all’art. 154 del Codice, che dispone relativamente ai danni cagionati per effetto del trattamento ed ai conseguenti obblighi di risarcimento, implicando, a livello pratico, che, per evitare ogni responsabilità, l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire appunto la sicurezza dei dati detenuti.

Il COLLABORATORE del trattamento dei dati personali, operando nell’ambito dei principi sopra ricordati, deve attenersi ai seguenti compiti di carattere particolare:

  • Ogni qualvolta si raccolgano dati personali, provvedere a che venga fornita l’informativa ai soggetti interessati;
  • Assicurarsi che il trattamento di dati per lo svolgimento di prestazioni sia subordinato alla preventiva acquisizione del consenso, anche in forma orale.
  • Assicurare che la comunicazione a terzi e la diffusione dei dati personali avvenga solo se prevista dal “Regolamento Privacy” o se comunque espressamente ordinata dal Responsabile interno (Referete).
  • Prendere visione del “Regolamento Privacy” che le viene consegnato al momento della accettazione dell’incarico.
  • Verificare periodicamente (almeno ogni 60 giorni) sul sito web www.mistudioprofessionale.com la pubblicazione di eventuali variazioni al “Regolamento Privacy”
  • Adempiere agli obblighi di sicurezza, evidenziati nel “Regolamento Privacy”
  • Svolgere le mansioni/attività oggetto dell’incarico conferitogli trattando i dati personali con le procedure evidenziate nel “Regolamento Privacy”.
  • Comunicare tempestivamente al Responsabile interno (Referente) del trattamento dei dati eventuali violazioni dei dati (distruzione, perdita, divulgazione illecita o accesso non autorizzato) per i conseguenti adempimenti stabiliti dalla legge;

 

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

L’utilizzo e la sicurezza dei dati informatici sono alla base dell’attività prevalente del Dr. Maurizio Iacopozzi Studio Professionale. I soggetti con privilegi di “amministratore” che ricoprono il ruolo di responsabile dei sistemi informativi del mistudioprofessionale si identificano:

  • nel Dr. Maurizio Iacopozzi quale “amministratore” e responsabile dei sistemi informativi del mistudioprofessionale interno allo Studio Professionale
  • in altri operatori esterni specializzati, specificatamente nominati Responsabili Esterni o Amministratori di Sistema Esterni ai sensi dell’art. 28 del Reg. 679/16

I fornitori di Servizi informatici esterni sono scelti con particolare attenzione alla professionalità non solo tecnica ma anche del rispetto e della protezione dei dati, privilegiando società certificate ISO 27001.

Il mistudioprofessionale tratta i dati personali in cloud utilizzando tre piattaforme:

  • PC System, per il trattamento e la gestione dei dati fiscali, contabili e gestionali (escluso modelli reddituali 730, ISEE, RED)
  • Microsoft, per il trattamento e la gestione di dati non contabili e fiscali
  • Piattaforma CGN, per il trattamento e la gestione dei modelli reddituali 730, ISEE, RED.

Il mistudioprofessionale tratta i dati personali residuali in home server.

L’Organigramma degli Amministratori di sistema viene pubblicato sul web: www.mistudioprofessionale.com

 

Compiti e Responsabilità

Ai sensi dell’art. 11 del Codice, che prescrive le “Modalità del trattamento e requisiti dei dati”, per ciascun trattamento di propria competenza, l’Amministratore di sistema deve fare in modo che siano sempre rispettati i seguenti presupposti:

 

  • i dati devono essere trattati:
  1. secondo il principio di liceità, vale a dire conformemente alle disposizioni del Codice, nonché alle disposizioni del Codice Civile, per cui, più in particolare, il trattamento non deve essere contrario a norme imperative, all’ordine pubblico ed al buon costume;
  2. secondo il principio fondamentale di correttezza, il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui;

 

  • i dati devono essere raccolti solo per scopi:
  1. determinati, vale a dire che non è consentita la raccolta come attività fine a se stessa;
  2. espliciti, nel senso che il soggetto interessato va informato sulle finalità del trattamento;
  3. legittimi, cioè, oltre al trattamento, come è evidente, anche il fine della raccolta dei dati deve essere lecito;
  4. compatibili con il presupposto per il quale sono inizialmente trattati, specialmente nelle operazioni di comunicazione e diffusione degli stessi;

 

  • i dati devono, inoltre, essere:
  1. esatti, cioè, precisi e rispondenti al vero e, se necessario, aggiornati;
  2. pertinenti, ovvero, il trattamento è consentito soltanto per lo svolgimento delle funzioni istituzionali, in relazione all’attività che viene svolta;
  3. completi: non nel senso di raccogliere il maggior numero di informazioni possibili, bensì di contemplare specificamente il concreto interesse e diritto del soggetto interessato;
  4. non eccedenti in senso quantitativo rispetto allo scopo perseguito, ovvero devono essere raccolti solo i dati che siano al contempo strettamente necessari e sufficienti in relazione al fine, cioè la cui mancanza risulti di ostacolo al raggiungimento dello scopo stesso;
  5. conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione degli atti amministrativi. Trascorso detto periodo i dati vanno resi anonimi o cancellati (art. 16) e la loro comunicazione e diffusione non è più consentita (art. 25).

 

Ciascun trattamento deve, inoltre, avvenire nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’interessato al trattamento, ovvero deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.

Se il trattamento di dati è effettuato in violazione dei principi summenzionati e di quanto disposto dal Codice è necessario provvedere al “blocco” dei dati stessi, vale a dire alla sospensione temporanea di ogni operazione di trattamento, fino alla regolarizzazione del medesimo trattamento (ad esempio fornendo l’informativa omessa), ovvero alla cancellazione dei dati se non è possibile regolarizzare.

Ciascun Amministratore di sistema deve, inoltre, essere a conoscenza del fatto che per la violazione delle disposizioni in materia di trattamento dei dati personali sono previste sanzioni penali (artt. 167 e ss.).

In ogni caso la responsabilità penale per eventuale uso non corretto dei dati oggetto di tutela, resta a carico della singola persona cui l’uso illegittimo degli stessi sia imputabile.

Mentre, in merito alla responsabilità civile, si fa rinvio all’art. 154 del Codice, che dispone relativamente ai danni cagionati per effetto del trattamento ed ai conseguenti obblighi di risarcimento, implicando, a livello pratico, che, per evitare ogni responsabilità, l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire appunto la sicurezza dei dati detenuti.

L’Amministratore di sistema, operando nell’ambito dei principi sopra ricordati, deve attenersi ai seguenti compiti di carattere particolare:

  1. gestire il sistema informatico, nel quale risiedono le banche dati personali e sue successive modifiche ed aggiornamenti, attenendosi anche alle disposizioni del Titolare
  2. predisporre ed aggiornare il sistema di sicurezza informatico adeguandolo anche alle eventuali future norme in materia di sicurezza. Più specificatamente l’Amministratore di sistema dovrà:
    • assegnare e gestire il sistema di autenticazione informatica secondo e quindi, fra le altre, generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate, le parole chiave ed i Codici identificativi personali da assegnare agli incaricati del trattamento dati, svolgendo anche la funzione di custode delle copie delle credenziali;
    • procedere, più in particolare, alla disattivazione dei Codici identificativi personali, in caso di perdita della qualità che consentiva all’utente o incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo dei Codici identificativi personali per oltre 6 (sei) mesi;
    • adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire la massima misura di sicurezza nel rispetto di quanto dettato dal Dlgs.196/2003 ed utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware, verificandone l’installazione, l’aggiornamento ed il funzionamento degli stessi;
    • adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati personali e provvedere al ricovero periodico degli stessi con copie di back-up, vigilando sulle procedure attivate in struttura. L’Amministratore di sistema dovrà anche assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;
    • indicare al personale competente o provvedere direttamente alla distruzione e smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di smaltimento strumenti elettronici;
    • cooperare nella predisposizione del “Regolamento Privacy”;
    • vigilare sugli interventi informatici diretti al sistema informatico della Società effettuati da vari operatori esterni. In caso di anomalie sarà sua cura segnalarLe direttamente al Titolare;
    • predisporre ed implementare le eventuali ulteriori misure minime di sicurezza per il trattamento informatico dei dati sensibili e per la conseguente tutela degli strumenti elettronici;
    • coordinare assieme al Titolare (e/o al Responsabile interno (Referente)) le attività operative degli incaricati del trattamento nello svolgimento delle mansioni loro affidate per garantire un corretto, lecito e sicuro trattamento dei dati personali nell’ambito del sistema informatico;
  3. collaborare con il Titolare (e/o al Responsabile interno (Referente)) per l’attuazione delle prescrizioni impartite dal Garante;
  4. comunicare prontamente al Titolare (e/o al Responsabile interno (Referente)) qualsiasi situazione di cui sia venuta a conoscenza che possa compromettere il corretto trattamento informatico dei dati personali;
  5. verificare il rispetto delle norme sulla tutela del diritto d’autore sui programmi di elaboratore installati nei pc. presenti nell’unità produttiva.
  6. adottare e gestire sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte di tutte le persone qualificate  amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti allo “username” utilizzato, i riferimenti temporali e la descrizione dell’evento (log in e log out) che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

 

Per l’espletamento dell’incarico, vengono assegnate all’Amministratore di sistema le credenziali di autenticazione che gli permettono l’accessibilità al sistema per lo svolgimento delle stesse funzioni assegnate.

Il Titolare provvederà, con cadenza almeno annuale, a svolgere le dovute verifiche sulle attività compiute dall’Amministratore di sistema. È obbligo di quest’ultimo prestare al Titolare la sua piena collaborazione per il compimento delle verifiche stesse.

L’Amministratore di sistema si impegna altresì ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell’espletamento dell’incarico ricevuto. A tal fine l’Amministratore di sistema si impegna a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell’esecuzione del servizio.

RESPONSABILI ESTERNI DEL TRATTAMENTO

(art. 28 REG. 679/16)

Salvo quanto diremo nella successiva sezione “SERVIZIO DI INTERMEDIAZIONE FISCALE E DEPOSITO BILANCI E RESPONSABILI ESTERNI DEL TRATTAMENTO (ART. 28 Reg. 679/16)” tutti gli altri Servizi erogati dal mistudioprofessionale sono gestiti internamente dallo Studio Professionale stesso. La scelta di non esternalizzare servizi e di rimanere all’interno del perimetro soggettivo del mistudioprofessionale permette, by design e by default, di limitare il rischio di trattamenti illeciti. Vi sono solo alcuni isolati casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati. Tali attività sono opportunamente segnalate all’interno delle singole informative.

 

SERVIZIO DI INTERMEDIAZIONE FISCALE E DEPOSITO BILANCI E RESPONSABILI ESTERNI DEL TRATTAMENTO

(art. 28 REG. 679/16)

I servizi di intermediazione fiscale ed i servizi di deposito bilanci sono affidati dallo Studio Professionale in outsourcing alla società SDR Consulting Srl. Quest’ultima è stata dal mistudioprofessionale nominata RESPONSABILE ESTERNO DEL TRATTAMENTO (ai sensi del art. 28 Reg. 679/16), con apposito atto di nomina. Il mistudioprofessionale procede a verificare l’effettiva adozione delle misure e delle indicazioni impartite.

 

Compiti e Responsabilità

Ai sensi dell’art. 11 del Codice, che prescrive le “Modalità del trattamento e requisiti dei dati”, per ciascun trattamento di propria competenza, il RESPONSABILE deve fare in modo che siano sempre rispettati i seguenti presupposti:

  • i dati devono essere trattati:
  1. secondo il principio di liceità, vale a dire conformemente alle disposizioni del Codice, nonché alle disposizioni del Codice Civile, per cui, più in particolare, il trattamento non deve essere contrario a norme imperative, all’ordine pubblico ed al buon costume;
  2. secondo il principio fondamentale di correttezza, il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui;

 

  • i dati devono essere raccolti solo per scopi:
  1. determinati, vale a dire che non è consentita la raccolta come attività fine a se stessa;
  2. espliciti, nel senso che il soggetto interessato va informato sulle finalità del trattamento;
  3. legittimi, cioè, oltre al trattamento, come è evidente, anche il fine della raccolta dei dati deve essere lecito;
  4. compatibili con il presupposto per il quale sono inizialmente trattati, specialmente nelle operazioni di comunicazione e diffusione degli stessi;

 

  • i dati devono, inoltre, essere:

 

  1. esatti, cioè, precisi e rispondenti al vero e, se necessario, aggiornati;
  2. pertinenti, ovvero, il trattamento è consentito soltanto per lo svolgimento delle funzioni istituzionali, in relazione all’attività che viene svolta;
  3. completi: non nel senso di raccogliere il maggior numero di informazioni possibili, bensì di contemplare specificamente il concreto interesse e diritto del soggetto interessato;
  4. non eccedenti in senso quantitativo rispetto allo scopo perseguito, ovvero devono essere raccolti solo i dati che siano al contempo strettamente necessari e sufficienti in relazione al fine, cioè la cui mancanza risulti di ostacolo al raggiungimento dello scopo stesso;
  5. conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione degli atti amministrativi. Trascorso detto periodo i dati vanno resi anonimi o cancellati (art. 16) e la loro comunicazione e diffusione non è più consentita (art. 25).

 

Ciascun trattamento deve, inoltre, avvenire nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’interessato al trattamento, ovvero deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.

Se il trattamento di dati è effettuato in violazione dei principi summenzionati e di quanto disposto dal Codice è necessario provvedere al “blocco” dei dati stessi, vale a dire alla sospensione temporanea di ogni operazione di trattamento, fino alla regolarizzazione del medesimo trattamento (ad esempio fornendo l’informativa omessa), ovvero alla cancellazione dei dati se non è possibile regolarizzare.

Ciascun RESPONSABILE deve, inoltre, essere a conoscenza del fatto che per la violazione delle disposizioni in materia di trattamento dei dati personali sono previste sanzioni penali (artt. 167 e ss.).

In ogni caso la responsabilità penale per eventuale uso non corretto dei dati oggetto di tutela, resta a carico della singola persona cui l’uso illegittimo degli stessi sia imputabile.

Mentre, in merito alla responsabilità civile, si fa rinvio all’art. 154 del Codice, che dispone relativamente ai danni cagionati per effetto del trattamento ed ai conseguenti obblighi di risarcimento, implicando, a livello pratico, che, per evitare ogni responsabilità, l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire appunto la sicurezza dei dati detenuti.

 

Il RESPONSABILE ESTERNO del trattamento dei dati personali, operando nell’ambito dei principi sopra ricordati, deve attenersi ai seguenti compiti di carattere particolare:

  1. adottare presso le proprie strutture di trattamento le misure organizzative, fisiche, procedurali e logiche sulla sicurezza nei trattamenti con particolare riferimento a quanto specificato nell’art.32 del Regolamento. Il Responsabile esterno, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio in particolare contro:
    • distribuzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattai;
    • trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
  2. Individuare, verificare e, se del caso, aggiornare le persone fisiche incaricate a trattare i dati in relazione a ciascuna area di trattamento.
  3. In nome e per conto del Titolare, fornire agli interessati tutte le informazioni previste dall’art.13 del Reg. 679/16 secondo predisposto dal Titolare assicurandosi che l’interessato la sottoscriva.
  4. Predisporre per conto del Titolare del trattamento dei dati il registro delle attività di trattamento da esibire in caso di ispezioni delle Autorità e contenente almeno le seguenti informazioni :
    • il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del Contitolare del trattamento
    • dati di contatto dei Responsabile della protezione dei dati;
    • le finalità del trattamento;
    • le categorie di interessati
    • le categorie di dati personali;
    • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
    • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
    • le misure di sicurezza tecniche e organizzative adottate.
  5. Vigilare che gli incaricati al trattamento dei dati personali della Vostra Azienda si attengano a procedure e policy di sicurezza informatica predefinite, in particolare sull’uso degli “strumenti elettronici”.
  6. Assistere il Titolare nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo.
  7. Se richiesto, assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare le eventuali richieste per l’esercizio dei diritti dell’interessato di cui agli articoli 13-22 del Regolamento.
  8. assicurare che la comunicazione a terzi e la diffusione dei dati personali avvenga solo se prevista da una norma di legge o regolamento o se comunque necessaria per lo svolgimento di funzioni istituzionali.
  9. adempiere agli obblighi di sicurezza, quali:
    • o adottare, tramite il supporto tecnico degli amministratori di sistema, tutte le preventive misure di sicurezza, ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31);
    • o definire una politica di sicurezza per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e servizi afferenti il trattamento dei dati;
    • o assicurarsi la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico;
    • o definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative applicate;
  10. comunicare tempestivamente al Titolare del trattamento dei dati eventuali violazioni dei dati (distruzione, perdita, divulgazione illecita o accesso non autorizzato) per i conseguenti adempimenti stabiliti dalla legge;

 

Il Responsabile esterno si impegna altresì ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell’espletamento dell’incarico ricevuto. A tal fine il Responsabile esterno si impegna a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell’esecuzione del servizio, salvo quanto esposto in precedenza.

 

 

MAURIZIO IACOPOZZI STUDIO PROFESISONALE QUALE RESPONSABILE ESTERNO DEL TRATTAMENTO INCARICATO AI SENSI DELL’ART.28 REG.679/16

Il mistudioprofessionale, con specifico incarico ricevuto da CAF CGN SPA, risulta responsabile esterno del trattamento dei dati personali in qualità di ASSOCIATO/INCARICATO DEL CAF con riferimento all’attività di assistenza fiscale, quale dichiarazione 730, dichiarazione ISEE, dichiarazione RED e dichiarazione di Responsabilità (modelli ICRIC-ICLAV-ACCAS/PS), IMU-TASI ed ogni altra attività che il CAF CGN SPA potrebbe erogare direttamente ovvero tramite il mistudioprofessionale.

Per maggiori informazioni sulle sezioni della presente pagina è possibile inviare una email a info@cgn.it o consultare il sito web www.cgn.it/privacy

 

 

SERVIZI MISTUDIOPROFESSIONALE OFFERTI

TIPO DI SERVIZIO SOCIETA’ EROGANTE IL SERVIZIO CATEGORIE DI DATI TRATTATI
CONTABILITÀ – DICHIARATIVI – FATTURAZIONE mistudioprofessionale Anagrafiche, dati di Contabilità, fatture, dati e documenti specifici per svolgere il servizio.
Modello 730 ed assistenza fiscale CAF CAF CGN SPA Anagrafiche, dati e documenti specifici per svolgere il servizio.
SERVIZI PER LA CONSULENZA mistudioprofessionale Anagrafiche, lavoratori, compensi per prestazioni di lavoro, dati e documenti specifici per svolgere il servizio.
SERVIZI FIRMA DIGITALE E PEC mistudioprofessionale

SDR CONSULTING SRL

 Anagrafiche e firme digitali/pec rilasciate
SERVIZI PER GLI IMMOBILI mistudioprofessionale Dati su immobili, imposte su immobili
SERVIZI CAMERALI E BILANCIO360 SDR CONSULTING SRL Anagrafiche aziende, dati su pratiche, comunicazioni verso Enti
SERVIZI PER LO STUDIO PROFESSIONALE mistudioprofessionale Anagrafiche aziende, dati su pratiche, comunicazioni verso Enti, registrazioni in archivio antiriciclaggio

 

Per maggiori informazioni sulle sezioni della presente pagina è possibile inviare una email a maurizioiacopozzi@sdrconsulting.it o consultare il sito web www.mistudioprofessionale.com

 

ANALISI DEL RISCHIO E MISURE PER PREVENIRE I RISCHI PRIVACY

REGISTRO DEI TRATTAMENTI (art. 30 comma 1 Reg. 679/16) E ANALISI DELL’IMPATTO

 

Il MODELLO ORGANIZZATIVO PRIVACY DR.MAURIZIO IACOPOZZI STUDIO PROFESSIONALE (MOP mistudioprofessionale) prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascun Servizio erogato attraverso specifiche analisi sulla tipologia dei trattamenti effettuati e attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 Reg. 679/16.

L’analisi su rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata e viene costantemente aggiornata dagli Amministratori di Sistema sia interni che esterni. Gli esiti delle indagini permettono ai nostri tecnici di migliorare costantemente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.