Consulenza Privacy e GDPR

GDPR – Reg. UE 679/2016

Il nuovo regolamento europeo rivoluziona il trattamento dei dati personali e la tutela della privacy in ambito professionale. Le aziende sono chiamate a adottarne le direttive entro il 25 maggio 2018.

Si chiama GDPR (General Data Protection Regulation) e segna un passo importante in termini di compliance per tutte le aziende europee, indipendentemente dalle loro dimensioni.

Si tratta del nuovo Regolamento Generale sulla Protezione dei Dati, ossia un insieme di norme e linee guida che, a partire dal 25 maggio 2018, tutte le realtà professionali dovranno rispettare con l’obiettivo di rendere omogenee e rafforzare le modalità di trattamento dei dati personali nella UE. 

Questo significa consolidare le misure per la tutela della privacy seguendo i dettami del GDPR, rispondendo al contempo ad un’esigenza di protezione e sicurezza dei dati sentita a livello globale e legata a doppio nodo all’emergere di minacce informatiche sempre più complesse.

GDPR – REG. UE 679/2016

Il nuovo Regolamento si propone di restituire ai cittadini europei il pieno controllo sui propri dati personali, un diritto spesso ostacolato da legislazioni nazionali differenti e da scenari tecnologici che a volte sfuggono all’attuale normativa. Per questo, adottare regole uniformi diventa l’unica strada percorribile. Ecco perché tutte le aziende sono chiamate ad adeguarsi, dimostrando di operare in conformità a quanto previsto dal GDPR.

Le regole del GDPR da applicare in azienda non dipendono dalla dimensione dell’impresa ma dalla tipologia di attività. Quelle aziende che utilizzano dati “sensibili” (dati sanitari o giudiziari ad esempio) in quanto “funzionali” al loro business, necessitano di maggiori accorgimenti per tutelare la privacy dei loro clienti.

Il fulcro attorno al quale ruota il sistema di protezione richiesto dalla norma è il Trattamento cioè qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

La persona a cui si riferiscono i dati soggetti al trattamento si definisce "Interessato".

Chiamaci per informazioni, consulenza tecnica e preventivi:

Tel: 0429.702301

Il GDPR si applica a tutti soggetti che trattano dati personali raccolti nel territorio dell’Unione Europea e prevede una “protezione” in senso, applicabile alle sole persone fisiche identificate o identificabili, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al “trattamento” dei loro dati personali. Il regolamento non disciplina il trattamento di dati relativi a persone giuridiche.

Sono introdotti i nuovi concetti di:

  • Responsabilizzazione o Accountability del titolare ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.
  • Principio di proporzionalità e autoregolamentazione. Maggiore libertà di scelta metodologica ma importi più elevati per le sanzioni amministrative pecuniarie, che variano nel massimo a seconda delle disposizioni violate;
  • Codici di condotta e certificazioni volontarie adottabili da parte di aziende, P.A, Enti, organizzazioni, associazioni di categoria e altri soggetti; le semplificazioni per chi aderisce ai codici;
  • Limitazione degli accessi ai dati solo a quegli utenti/incaricati che ne hanno la titolarità e credenziali;
  • Privacy by design: tutti i trattamenti di dati personali devono essere soggetti a valutazione di protezione sin dalla progettazione dei sistemi;
  • Privacy by default: deve essere garantito che tutti i dati raccolti siano i "minimi necessari" per le finalità del trattamento;
  • Data breach: Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante della privacy che comportano impatti sui diritti e le libertà degli interessati. Nel caso di una fuga di dati, che si può verificare tramite manomissione, attacco esterno o in modo accidentale, è poi obbligatorio darne avviso tempestivo (entro 72 ore dall’identificazione del problema) all’autorità garante. Eventuali ritardi andranno giustificati.

Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello UE.

  • Selezione e nomina dei Responsabili del Trattamento dati e di eventuali sub-responsabili. Regole più rigorose per la scelta e la responsabilizzazione di tali figure (prettamente esterne);
  • Responsabile della protezione dei dati o Data Protection Officer (DPO): incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. In alcuni casi la nomina è obbligatoria;
  • Chiarezza e trasparenza su informative e consenso: con il Regolamento GDPR cambia la modalità di redazione dell’informativa ai dipendenti, clienti, fornitori, ecc. Le informazioni richieste dal GDPR risultano essere più ampie rispetto al Codice Privacy. ad es. sui tempi di conservazione dei dati o sulle modalità di accesso, le autorizzazioni ai trattamenti riferite a diverse finalità ed in generale sui diritti esercitabili dall’interessato. Tutte queste informazioni relative al trattamento vanno espresse in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
  • Data Protection Impact Assessment (DPIA): - valutazione approfondita del rischio, per i trattamenti ad alto rischio (ad es. il monitoraggio sistematico e su larga scala di dati personali) se il trattamento è particolarmente critico.
  • Profilazione: altra innovazione che incide in maniera trasversale sulle scelte delle aziende. La disciplina dettata in materia di profilazione ai fini di marketing, monitoraggio dei clienti, analisi, controllo, statistiche, performances, capacità di spesa, orientamenti e gradimento: presuppongono spesso un’attività di profilazione. Le imprese che se ne occupano, come core business o per processi aziendali, avranno l’obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati e dotarsi di sistemi di controllo, procedure e servizi di protezione sui flussi dei dati, sia a livello hardware che software.

PER MANDARCI UN MESSAGGIO COMPILA IL FORM QUI SOTTO

Scrivici o Chiamaci per un preventivo o una consulenza

Consulenza, Supporto e Formazione in materia di Sicurezza e Salute sul Lavoro, Igiene Alimenti e Privacy

Conformità al GDPR: cosa fare?

Il presupposto di base per effettuare un trattamento dei dati personali a norma di legge, infatti, è che l’azienda-Titolare del trattamento dei dati, così come prevedeva il Codice Privacy D.Lgs. 196/2003, debba trovare fondamento in una idonea base giuridica.

La base giuridica è ciò che autorizza legalmente il trattamento. In assenza di una base legale il trattamento è illecito. La base giuridica deve essere indicata nell'informativa rivolta agli utenti e menzionarla nel registro dei trattamenti. Per il trattamento dei dati di cui all'art. 9 (dati sensibili), oltre ad individuare una corretta base giuridica, occorre fare riferimento alle condizioni di maggior tutela previste.

L'articolo 6 del regolamento europeo enuncia le condizioni in base alle quali il trattamento può dirsi lecito. 

  1. Il primo adempimento da attuare per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio, da esibire su richiesta del Garante. Il registro deve avere forma scritta, anche elettronica.
  2. procedere alla tutela dei dati mediante impiego di strumenti informatici come la crittografia, così da renderli non fruibili a soggetti non autorizzati. Rispettare procedure standard di protezione (pseudo-nimizzazione e cifratura dati).
  3. garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l’accesso alle informazioni venga ristabilito in modo tempestivo.
  4. prevedere assessment delle misure tecniche e organizzative adottate, che dimostrino la capacità di assicurare riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento, nonché ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente fisico o tecnico. Infatti, il principio di accountability vale per tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano non soltanto la protezione del dato ma anche il controllo, la verifica e la rivalutazione delle procedure.
  5. Formazione obbligatoria: con il Reg. Ue 2016/679 la formazione ritorna ad essere un asset importante a cui demandare la prevenzione dei rischi connessi alla gestione dei dati personali, ed evitare quindi le relative sanzioni.
  6. sostituire le soluzioni di archiviazione locale dei dati con sistemi che centralizzino sia la gestione delle autorizzazioni sia l’accesso ai dati. In altre parole, non conservare i file esclusivamente su un computer o un disco locale, bensì optare per una più avanzata e affidabile soluzione di storage e backup: i sistemi cloud costituiscono a tal fine una delle migliori alternative disponibili, grazie anche (ma non solo) alla ridondanza dei sistemi impiegati. Affidarsi a fornitori di servizi cloud che certificano la localizzazione all’interno dell’Unione Europea è un’altra scelta possibile, poiché ci si assicura che la gestione delle informazioni avverrà in conformità con il regolamento, nel pieno rispetto degli standard e dei requisiti stabiliti a livello UE.
  7. garantire con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) delle attività di trattamento. Nell’ottica della rivisitazione dei processi e dei progetti aziendali, le imprese dovranno quindi tener conto dei principi di privacy by design e default, ragionando in termini di compliance privacy per ogni singolo step operativo aziendale.
  8. Coinvolgimento dei soggetti esterni: professionisti e aziende che lavorano come responsabili esterni (outsorcers). Responsabili e titolari dovranno quindi rivedere gli esistenti contratti affinché risultino conformi ai dettami del Regolamento.

 

CONTENUTI MINIMI DEL REGISTRO DEI TRATTAMENTI DATI

  1. nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative idonee a garantire la disponibilità, l’integrità e la riservatezza nella gestione dei dati.

Al fine di assicurare la conformità a quanto previsto dal GDPR i passi da compiere sono dunque molti ma imprescindibili. Oltre a contribuire nel centrare gli obiettivi del regolamento, infatti, si eviterà di incappare in sanzioni che, per la mancata compliance, possono arrivare fino al 4% del fatturato.

In ogni caso, è bene non adottare soluzioni improvvisate e avvalersi di consulenti e partner IT preparati e certificati per stilare il piano d’azione migliore e ottimizzare gli investimenti necessari. Se infatti è vero che il GDPR rimette le persone al centro (riconoscendo il pieno diritto alla trasparenza del trattamento dati) è anche vero che tutto questo è ottenibile solo attraverso l’impiego di sistemi e soluzioni altamente affidabili e ad elevato contenuto tecnologico.

PER MANDARCI UN MESSAGGIO COMPILA IL FORM QUI SOTTO

Scrivici o Chiamaci per un preventivo o una consulenza

Consulenza, Supporto e Formazione in materia di Sicurezza e Salute sul Lavoro, Igiene Alimenti e Privacy