Guida rapida agli adempimenti GDPR

Home » guide » Guida rapida agli adempimenti GDPR

Guida rapida agli adempimenti GDPR

Cos'è il GDPR

Il General Data Protection Regulation è il regolamento introdotto dall'Unione Europea sulla protezione dei dati, in vigore dal 25 Maggio 2018.

Influisce su tutte quelle attività aziendali e professionali che implicano l'utilizzo e la conservazione di dati personali e dati sensibili.

Prevede, in sintesi, che le organizzazioni adottino tutta una serie di buone pratiche in materia di protezione dei dati in formato digitale e tradizionale e che, in caso di violazione, che si occupino di informare prontamente le persone interessate e/o a rischio.

Chi si deve adeguare

Aziende, organizzazioni, studi professionali, anche non aventi sede sul territorio UE, che controllano, conservano ed elaborano dati personali identificabili di cittadini e residenti dell'Unione Europea.

Che tipo di dati sono interessati da questo regolamento

  • Dati privati, come l'indirizzo email, l'indirizzo di residenza, l'indirizzo IP da cui una persona si connette per lavoro o privatamente.
  • Dati privati e sensibili, come l'appartenenza etnica, opinioni politiche, religione, stato di salute, questioni di natura legale, dati fiscali ed economici.

In entrambi i casi, il GDPR si applica sia a dati conservati fisicamente - e.g. faldoni cartacei - sia in formato digitale.

Quali sono i nuovi obblighi previsti dal GDPR?

Privacy by design

Prevedere misure di protezione dei dati personali fin dal momento della progettazione dei propri servizi aziendali.

Comporta:

  • nel caso di servizi pre-esistenti, la revisione di tutte le procedure di raccolta, elaborazione e conservazione dei dati;
  • nel caso di nuovi servizi, includere nel progetto procedure di sicurezza e sistemi hardware e software adeguati e aggiornati;

Le aziende che gestiscono dati personali devono prevedere chiare misure di protezione di quei dati fin dal momento della progettazione di sistemi e servizi, non è più sufficiente aggiornare i termini legali riguardanti il trattamento della privacy.

Privacy by design vuol dire, ad esempio, che uno studio professionale che intenda gestire un proprio database clienti mediante servizi di Cloud Office, deve essere informato e in grado di informare i propri clienti su termini del servizio, misure di sicurezza adottate e sui diritti previsti dal servizio di Cloud scelto, fin dalla progettazione e condizionando la scelta del fornitore di tali servizi digitali.

Reti aziendali, Server, sistemi di Cloud Office, database aziendali e database clienti, gestionali, App, siti web e e-commerce, sono esempi di strutture e servizi interessati da questo nuovo regolamento europeo. 

Principio di responsabilità 

Istituire figure responsabili del controllo sulla sicurezza dei dati, procedure di verifica e di notifica in caso di violazioni,

Comporta:

Adottare procedure di notifica delle violazioni: alle aziende è richiesto di attuare un sistema di notifica delle violazioni più rigido e di informarsi su come assolvere gli obblighi di segnalazione.

Nominare la figura del responsabile: secondo il GDPR, le aziende che utilizzano dati di utenti residenti nella UE, devono accertarsi se sia necessario nominare un responsabile della protezione dei dati. Questa figura è raccomandata qualora nei vostri servizi sia implicita l'elaborazione di un grande volume di informazioni personali, soprattutto se tali informazioni contengono dati sensibili. 

Aggiornare la Governance della privacy: oltre ad assolvere i nuovi obblighi, è necessario che l'azienda adotti una governance della privacy dei dati che sia chiara ed esaustiva.

Cosa cambia alla scadenza del 25 Maggio 2018?

Vengono introdotti il diritto all'oblio, il diritto alla portabilità dei propri dati, la valutazione di rischio di impatto. Sono necessarie nuove misure di governance e procedure di notifica.

Diritto all'oblio e "portabilità"

  • Le persone fisiche hanno il diritto di trasferire i propri dati da un'organizzazione all'altra.
  • Le persone possono richiedere la cancellazione dei propri dati personali all'azienda.
  • Di conseguenza, i dati devono essere forniti in un formato strutturato, leggibile da un computer, "portabile" tra differenti sistemi.

Database e conservazione dei dati

  • Non sarà più necessario informare le autorità dell'attività di trattamento di dati personali.
  • L'azienda è tenuta, sotto diretta responsabilità, a tenere una documentazione delle attività di elaborazione dati.

Valutazione dell'impatto 

  • Raccomandazioni e requisiti di sicurezza dovranno basarsi sulla valutazione del rischio.
  • Le valutazioni dell'impatto sulla protezione dei dati consentono di identificare rischi elevati per la privacy delle persone.

Notifica delle violazioni

Ogni violazione va segnalata tempestivamente:

  • all'autorità preposta alla vigilanza
  • alle persone dirette interessate, o a rischio

Responsabilità e governance

  • Le aziende devono dimostrare la propria conformità al GDPR.

In che modo posso rispettare la conformità al GDPR?

Informandosi presso di noi, istituendo nuove figure organizzative, rivedendo i processi di elaborazione e conservazione dei dati.

Accertandosi di predisporre due figure organizzative:

  • I titolari del trattamento dei dati, che sono tenuti a indicare le modalità e le finalità per cui sono trattati i dati.
  • I responsabili del trattamento dei dati: ovvero persone che elaborano i dati per conto del titolare.

Costoro garantiscono che il trattamento dei dati sia conforme al regolamento, evitando eventuali sanzioni.

Aziende che, per dimensioni e volumi di dati, trattano grandi quantità di dati sensibili, possono scegliere di nominare un Responsabile della protezione dei dati, il cui compito sarà di tenere traccia di tutte le attività di elaborazione effettuate per conto dei clienti.

Un esempio pratico di garanzia di conformità

Un consulente informatico effettua la manutenzione di un database di un cliente, utilizzando il proprio computer portatile, collegato mediante connessione remota.

L'azienda deve accertarsi che per quella connessione remota siano utilizzati adeguati protocolli di sicurezza e criptatura dei dati, e che il portatile stesso sia dotato di misure di sicurezza "fisica".

In che modo potete aiutarmi a ottenere la conformità GDPR?

  • Esternalizzando il responsabile della protezione dei dati.
  • Valutando la vostra infrastruttura di rete, l'elaborazione e la conservazione dei dati a livello tecnico e procedurale.
  • Elaborando insieme una strategia che includa: adeguamento tecnico e dell'infrastruttura, revisione delle procedure e dei ruoli coinvolti nella gestione dati, esternalizzazione di responsabilità e processi.

GDPR Best practice, in sintesi

Per quanto riguarda il personale:

Stabilire regole chiare per ciascun dipendente relativamente alla corretta gestione di tutti i dati elettronici detenuti all'interno dell'azienda. Ad esempio, è possibile introdurre regole sull'utilizzo di dati sensibili archiviati sui computer portatili dei dipendenti e sulla procedura di cancellazione dei dati.

Per quanto riguarda i processi:

È fondamentale che le aziende rivedano tutti i loro processi attuali in materia di dati. Una volta individuate le lacune e le debolezze delle procedure attualmente in atto, l'organizzazione deve sviluppare un piano quadro volto a rafforzare questi aspetti.

Per quanto riguarda la tecnologia:

È compito di ogni organizzazione assicurarsi che tutti i sistemi esistenti che non supportano pienamente i regolamenti siano migliorati o sostituiti, per evitare di incorrere in sanzioni a seguito dell'entrata in vigore del GDPR.

Altri articoli in guide