Notizie
GDPR – Il nuovo Regolamento Europeo sulla Privacy
Venerdì 25 gennaio 2019
Il nuovo Regolamento Europeo sulla Privacy
General Data Protection Regulation.
Si tratta appunto di una norma direttamente applicabile, non di una direttiva, in tutti i paesi dell’Unione Europea senza che sia necessario alcun atto di recepimento.
Cose da sapere e definizioni del GDPR?
Interessato del trattamento: la persona fisica i cui dati sono oggetto del trattamento.
Titolare del trattamento: la persona fisica o giuridica (azienda o ente) titolare del trattamento. Tratta il dato.
Risponde legalmente a mancata adesione del trattamento.
Responsabile del trattamento: la persona responsabile del trattamento (può essere esterna o interna all’azienda). Come il titolare, risponde legalmente a mancata adesione del trattamento.
DPO: Data Protection Office. Una figura che deve essere inserita per controllare che le norme del GDPR vengano rispettate. È mediatore tra l’azienda ed il Garante della Privacy.
Il DPO vigila sull’operato dell’azienda grazie a conoscenze in materia di diritto e protezione di dati. Questo soggetto potrà essere interno od esterno allo staff, dovrà avere a disposizione tutte le risorse necessarie per svolgere adeguatamente il suo lavoro, dovrà conferire direttamente con i massimi livelli dell’azienda e non potrà svolgere attività che risultino in conflitti d’interesse.
È obbligatorio solo:
- Quando il trattamento dei dati è effettuato da autorità o organismo pubblico.
- Quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”.
- Quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.
Pprincipali caratteristiche del GDPR?
- Il diritto all’oblio, ovvero il diritto di “scomparire” online. È una novità inserita dal GDPR.
- Il consensodell’interessato dovrà essere LIBERO, SPECIFICO, INFORMATO, INEQUIVOCABILE E SEMPRE REVOCABILE.
- Privacy by Design: un concetto secondo il quale le misure di protezione dei dati devono essere alla base dei processi aziendali. Bisogna pensare sempre alla sicurezza dell’utente, fin dall’inizio di ogni processo commerciale ed informatico. Grazie a questo principio saranno processati solo i dati realmente utilie l’accesso sarà limitato a persone necessarie.
- Privacy by default: solo i dati strettamente necessari potranno essere raccolti (e per un tempo limitato). Ogni singola volta che un’azienda avvia un progetto che prevede trattamenti di dati sarà necessario predisporre delle valutazioni di impatto alla privacy.
- Il diritto di un individuo di ottenere le informazioni che un’azienda ha su di lui. Questo diritto è definito della “portabilità del dato”.L’interessato ha, appunto, “diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile, e riutilizzabile per poterli conservare e/o trasferire ad altro titolare”.(Questo diritto è previsto nel caso di dati trattati con strumenti automatizzati, dati il cui trattamento si basa sul consenso dell’interessato o su contratto, o dati trasmessi direttamente dall’interessato).
- Il diritto di un individuo di negare il consenso a posteriori per il trattamento dei dati.
- Il diritto di essere informato propriamente ed in maniera semplice e comprensibiledei rischi che corri nel rilasciare i tuoi dati (il classico “trattamento dei dati” che nessuno mai legge dovrà essere chiaramente esplicitato).
- Le informative sul trattamento dei dati rimarranno intatte ma verranno ampliate, includendo il tempo di mantenimento dei dati e i nominativi di chi può li vedere e controllare, insieme al nome del funzionario alla protezione dei dati.
- Per quanto riguarda un altro concetto fondamentale riguarda la Breach Notifications, ovvero la notificazione delle violazioni dei dati all’utente.La notifica dovrà essere effettuata entro 72 ore dalla scoperta della violazione senza ritardi ingiustificati.
- Il diritto di contestare le decisioni automatizzate, ovvero che processi come la profilazione (quel fenomeno, scaturito da algoritmi, che suddivide gli utenti dividendoli grazie alle informazioni prese online su gusti, età, sesso…Insomma tutte quelle informazioni utili nei processi di marketing).
Cosa bisogna fare per adeguarsi?
Farsi delle domande:
Che tipi di dati raccoglie la mia azienda?
Per quale motivo?
Dove vengono archiviati i dati?
Chi e in quanti hanno accesso a questi dati?
Per quanto tempo vengono conservati?
Successivamente si procederà ad effettuare:
Assessment preventivo: si tratta di una valutazione legale ed informatica della propria azienda.
Registro dei Trattamenti: obbligatorio solo per le aziende con più di 250 dipendenti.
Riporta quali dati vengono trattati, le finalità del trattamento, chi ha accesso ai dati, eventuale trasferimento all’estero, termini della cancellazione dei dati e misure di sicurezza adottate.
Definizione dei ruoli: decidere ruoli e compiti aziendali nell’ambito trattamento dati.
Risk Assessment: Valutazione dei rischi.
Privacy Impact Assessment: si tratta della dotazione di soluzioni di security adeguate. Possono essere di sicurezza informatica come di altro tipo (sistemi di videosorveglianza ecc.)
Manutenzione: il GDPR prevede costante controllo dei sistemi, dei trattamenti, delle procedure interne ecc. per fare in modo di rispettare sempre la normativa.
Cosa fare a livello informatico?
E’ importante nella gestione dei dati in modo informatico fare:
- Back up periodici
- Restore dei back up
- Cambio password ogni 3/6 mesi
- Accessi ai dati limitati alle persone autorizzate
- Sistemi di Disaster Recovery
- Difesa contro malware e difesa dei confini
- Valutazione e correzione continue delle vulnerabilità
Se si fanno queste cose si è già a buon punto per diventare GDPR-compliant.
Per informazioni contatare il Dott. Ugo Bullesi CEO di S.A.I. Srl - ugo.bullesi@sai-forg.it
< archivio notizie