GDPR informativa

Che cos’è la GDPR e perché è importante per tutelare i tuoi dati personali

Il GDPR è un insieme di disposizioni che armonizzano la protezione dei dati in tutti gli stati membri dell’UE.

Tali disposizioni coinvolgeranno direttamente le aziende sia dentro che fuori l’Europa.

Il Regolamento UE 679/2016, ossia il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore in tutta Europa il 25 maggio 2018 ed il tempo a disposizione per capire la strategia migliore da applicare e mettere in atto non è molto.

Secondo una recente indagine, infatti, 1 azienda su 2 non sarà in regola prima della fine del 2018. Eppure le sanzioni previste per chi non si allinea sono salatissime.

Il regolamento porterà una serie di innovazioni non solo per il singolo cittadino ma anche per aziende, enti pubblici, liberi professioni ed associazioni.

In primis il legislatore ha voluto introdurre regole più chiare in merito all’informativa ed al consenso stabilendo precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.

Si è voluto rendere la norma più trasparente, con un’unica visione in tutta l’Unione Europea, rendendo molto chiara e semplice la gestione del proprio dato per ogni cittadino mediante consensi e revoche evidenti.
La definizione presente nell’articolo 4 del GDPR stabilisce l’oggetto del regolamento stesso:

I dati personali sono i dati che usiamo tutti i giorni.
“dato personale è qualunque informazione relativa a una persona fisica o giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione”

Ad esempio: nome, cognome, numeri di telefono, email, l’indirizzo di abitazione o l’indirizzo IP.

I dati sensibili sono:
“i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

Tali categorie di dati sono trattati principalmente da ospedali, enti pubblici, società di selezione del personale, istituti di rilevazione demoscopica, etc.

I dati giudiziari, riguardano il casellario giudiziario, o l’eventualità di una sentenza penale di condanna. Può essere che un’azienda prima di concludere un accordo richieda la conoscenza di eventuali condanne.

La gestione di tali dati viene espressa come (Art. 4 del GDPR):
«trattamento» qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il consenso ad un certo trattamento che fino ad oggi poteva anche essere tacito diventa obbligatoriamente esplicito ed il cittadino potrà verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice.

Cambia quindi la visione data oggi ai processi di marketing diretto, ma cambiano anche le modalità di registrazione e fruizione dei molti servizi internet; così varia anche la visione relativa alla profilazione dell’utente che non sarà più sufficiente, nel caso di questioni che hanno effetti giuridici, a deciderne una soluzione.

Scarica GRATIS il regolamento completo in Italiano

Se vuoi saperne di più scarica il regolamento completo in italiano oppure continua la lettura

COSA DEVONO FARE LE AZIENDE

L’obbligo, in alcuni casi, di nominare un responsabile della protezione dei dati. Il DPO (Data Protection Officer), avrà il compito di verificare l’attuazione e l’applicazione della normativa, così come informare e consigliare il Responsabile del trattamento in merito agli obblighi derivanti dal Regolamento.

Il nominativo del DPO deve essere comunicato al Garante della Privacy, tramite opportuna procedura telematica e tramite opportuno modello di comunicazione (Art. 37 del GDPR 679/2016).
I responsabili dei dati devono informare le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui entro 72 ore.

In caso di data breach, dovranno essere informate nel più breve tempo possibile anche tutte le persone coinvolte. Secondo le più recenti statistiche il periodo medio in Italia per la segnalazione è oggi di 700 giorni!

È opportuno istituire procedure che sostengano sia il diritto di portabilità dei dati– cioè la possibilità di ogni individuo di trasmettere i propri dati personali a un altro ente, senza impedimenti – sia il diritto all’oblio, cioè la facoltà di interrompere il trattamento dati non più pertinenti o necessari mediante revoca del consenso.

A CHI SI RIVOLGE LA GDPR

Tutte le Pubbliche amministrazioni e tutte le PMI con sede nell’Unione Europea, oppure aziende con sede in altri paese al di fuori dell’Unione Europea ma che trattano dati dei cittadini di uno stato membro.

COSA BISOGNA FARE

Valutare 3 aspetti:
– analisi dei rischi (interna e informatica)
– formazione
– certificazione

L’ ANALISI DEI RISCHI

1. Individuare i Responsabili Privacy – Art. 4 del GDPR
2. Formulare incarichi formali mediante lettera di incarico che evidenzi compiti e responsa- bilità;
3. Formulare le nomine agli incaricati e comuni- carle al garante della privacy;
4. Stilare un organigramma aziendale;
5. Valutazione dei Rischi Privacy presenti in azienda (PIA: Privacy Impact Assessment): Realizzazione di un piano interno che preveda come mitigare il singolo rischio e individui coloro che sono incaricati di operare in tal senso. Questo planning operative deve essere costantemente monitorato e avrà impatto sul Privacy Impact Assessment successivo (uno/due all’anno potrebbero essere sufficienti) in cui si andranno ad evidenziare i miglioramenti ottenuti e le eventuali ulteriori rischiosità subentrate.
Un PIA è disegnato per raggiungere normalmente tre obiettivi:
a. Garantire la conformità con le normative, e requisiti di politica legali applicabili per la privacy;
b. Determinare i rischi e gli effetti che ne conseguono;
c. Valutare le protezioni e eventuali processi alternativi per mitigare i potenziali rischi per la privacy.
6. Creazione di un Registro del Titolare dei Trattamenti (sia cartaceo che elettronico);
7. Creazione di un Registro del Responsabile del Trattamento (sia cartaceo che elettronico);
8. Integrazione di un sistema informatico che per la gestione integrata del PIA, degli organigrammi e dei registri;
9. Il Data Breach: cosa fare in caso di violazione dei dati. I responsabili dei dati devono informare le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui entro 72 ore.
10. Il DPO: quando e se è necessario nominarlo.

Soggetto

Titolare del Trattamento dei Dati – art. 24 GDPR

Obbligatorio

Chi può essere

Azienda o Ente – Titolare

Cosa fa

Determina le finalità e i mezzi del trattamento di dati personali.

Soggetto

Contitolare del Trattamento dei Dati – art. 26 GDPR

Obbligatorio

No

Chi può essere

Nel caso in cui ci siano due o più legali rappresentanti

Cosa fa

Determina le finalità e i mezzi del trattamento di dati personali.

Soggetto

Responsabile del Trattamento dei Dati – Art. 28 GDPR

Obbligatorio

Chi può essere

Persona nominata dal Titolare del Trattamento

Cosa fa

Tratta dati personali per conto del titolare del trattamento.

Soggetto

Responsabile della Protezione dei Dati (DPO: Data Protection Officer) – Art. 37 GDPR

Obbligatorio

No

Chi può essere

Consulente esterno

Cosa fa

Verifica l’attuazione della normativa e informa e consiglia il Responsabile del Trattamento in merito agli obblighi del Regolamento

Soggetto

Incaricati della Protezione dei Dati

Obbligatorio

Si

Chi può essere

Dipendenti

Cosa fa

Persone autorizzate a compiere il trattamento dei dati

Se vuoi saperne di più scarica il regolamento completo in italiano oppure continua la lettura

LA FORMAZIONE

  1. Formazione del Titolare del Trattamento dei Dati
  2. Formazione del Contitolare del Trattamento dei Dati
  3. Formazione del Responsabile del Trattamento dei Dati – profilo primario per la norma uni 11697
  4. Formazione del DPO– profilo primario per la norma uni 11697
  5. Formazione degli Incaricati al Trattamento dei dati
  6. Formazione specialista Privacy (almeno 24 ore) – profilo di supporto per la norma uni 11697
  7. Formazione valutatore privacy (almeno 48 ore) – profilo di supporto per la norma uni 11697

LA CERTIFICAZIONE

1. Certificazione UNI 11697 per il DPO: consente la non attaccabilità e la dimo- strazione delle competenze del DPO;
2. Certificazione ISO/IEC 27001:2005 per la gestione della sicurezza nella tecnologia dell’informazione;
3. Autorizzazione all’Ispettorato del Lavoro degli Impianti di Video Sorveglianza (ove presenti).

LE SANZIONI

Le imprese e le pubbliche amministrazioni che non si uniformeranno alle nuove norme entro il 25 maggio 2018 si esporranno a sanzioni molto consistenti, che in casi particolari potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

LA NOSTRA SOLUZIONE

CONFORMA, supportata da Data Protection Officer certificato, ha ideato una soluzione per guidare le aziende nell’intricata galassia dell’applicazione del GDPR:

Consulenza: Introduzione al nuovo GDPR; quali impatti, quali responsabilità, quali sanzioni, approccio metodologico.
Assessment: analisi dei rischi e dell’impatto del nuovo GDPR sull’azienda, GAP Analysis AS IS-TOBE.
Disegno di processo: consulenza nel disegno di nuovi processi operativi.
Strumento di supporto: basato sulla struttura organizzativa dell’azienda, iden- tifica i responsabili del trattamento, monitora la correttezza dell’applicazione del GDPR sui processi aziendali, segnala le NON Conformità nel trattamento e suggerisce le azioni corret- tive necessarie.
Formazione: progettazione ed erogazione della formazione alle figure sensibili coin- volte.
DPO on demand: un servizio di un nostro consulente certificato DPO.

Per saperne di più ti invitiamo a contattarci:

Tel. +39 0932 1857922
Mail info@conformaonline.it

Tutela i dati con la GDPR

Per saperne di più scarica il regolamento completo in Italiano