GDPR – General Data Protection Regulation

IN AGGIORNAMENTO. ISCRIVITI ALL’APPOSITA NEWSLETTER PER RIMANERE AGGIORNATO.

Cosa è il GDPR – General Data Protection Regulation

Dopo 4 anni di preparazione, il 14 aprile del 2016 il Parlamento Europeo ha approvato il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) che sostituirà la normativa applicata nei diversi stati e la unificherà nei 27 stati membri. Il governo britannico implementerà una legislazione equivalente che seguirà, a grandi linee, il GDPR.

È una delle più importanti iniziative in materia di protezione dei dati degli ultimi 20 anni e porta notevoli implicazioni per qualsiasi organizzazione che si rivolga ai soggetti dell’Unione Europea.
Pur essendo una norma comunitaria Europea, ha un’influenza mondiale perché controlla in quale modo le società e le organizzazioni gestiscono i dati personali dei soggetti che si trovano nell’Unione Europea.

Nella normativa sono stabiliti requisiti molto rigorosi riguardo alle procedure di gestione dei dati: trasparenza, documentazione, consenso e sicurezza sono alla base della tutela dei diritti e libertà dondamentali delle persone fisiche.

Se vuoi, dai un’occhiata alla pubblicazione sulla Gazzetta Ufficiale.


Definizione di dato personale.

Il GDPR indica come dato personale: “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Gli indirizzi IP (identificativi online) sono ora considerati dati personali, a meno che non vengano anonimizzati.

Se tramite operazioni di reverse engineering fosse possibile identificare a chi appartengono i dati pseudo-anonimizzati, diventano anche essi soggetti al GDPR.


Data di applicazione del GDPR: 25 maggio 2018

L’approvazione della riforma riguardo la protezione dei dati, è stata adottata dal Parlamento europeo e dal Consiglio europeo il 27 aprile 2016.

Il regolamento entra in vigore dal 25 maggio 2018 sostituendo la direttiva sulla protezione dei dati.


Monitoraggio delle attività di elaborazione dei dati personali.

Ogni organizzazione, in qualità di titolare del trattamento dei dati, deve monitorare le attività di elaborazione dei dati personali e instituire e custodire un registro con i dati personali gestiti all’interno dell’organizzazione e da terze parti, ovvero dai responsabili del trattamento.Tra i responsabili del trattamento possono essere inclusi i fornitori dei servizi software (SaaS) fino a servizi integrati per il tracciamento e la profilatura dei visitatori sui siti dell’organizzazione.

  • Il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Titolari e responsabili del trattamento dei dati devono poter dimostrare quali dati vengono elaborati, per quale uso e verso quali paesi e/o terze parti vengono trasmessi.

I dati possono transitare solo verso altre organizzazioni conformi al GDPR, e comunque solo all’interno di giurisdizioni ritenute “adeguate”.

I consensi degli utenti devono essere registrati ed occorre la prova che il consenso stesso è stato prestato.

Il consenso deve essere esplicito per tutti dati personali sensibili.

I dati personali non possono essere elaborati senza un’autorizzazione preventiva, per cui il consenso deve essere aquisito prima che avvenga l’elaborazione sulla base di informazioni chiare in merito al tipo di dati ed agli scopi per i quali saranno raccolti durante la navigazione.

Il titolare del trattamento deve eliminare i dati personali degli utenti qualora questi non siano più necessari al fine per il quale sono stati raccolti.

Le persone fisiche hanno adesso il diritto a questi punti fondamentali:
portabilità dei dati
– accesso ai dati
– diritto all’oblio
– revoca del consenso

In caso di una violazione dei dati, il titolare dei dati deve essere in grado di notificare le autorità di protezione dei dati e le persone fisiche interessate entro 72 ore.

Le aziende e le autorità pubbliche che elaborano su larga scala dati ritenuti sensibili, hanno inoltre l’obbligo, imposto dal GDPR, di formare un responsabile della protezione dei dati che dovrà adottare misure finalizzate ad assicurare la conformità con il GDPR da parte dell’organizzazione.


GDPR: cosa cambia per i siti internet?

In questo la normativa è chiara: se il tuo sito ha come utenti persone fisiche dell’UE ed elabori direttamente un qualunque tipo di dato personale, anche tramite servizi integrati di terze parti come Google o Facebook, è necessario il consenso preventivo esplicito del visitatore.

Perché il consenso sia valido e per procedere con l’elaborazione dei dati personali, è necessario descrivere esattamente quali, in che misura e a che scopo vengono elaborati i dati, utilizzando una descrizione semplice e in un linguaggio chiaro. Tale descrizione deve essere sempre raggiungibile dal visitatore (per esempio all’interno dell’informativa sulla privacy) ed è necessario fornire un modo semplice per consentire di modificare o revocare il consenso.

Ogni consenso e tutti i tracciamenti dei dati personali, anche da parte di servizi di terzi, devono essere documentati come prova, inclusi i paesi verso cui vengono trasmessi i dati.


Check-lists GDPR: 6 cose, tanto per iniziare

1. Formazione

  • Introdurre gli obblighi del GDPR ai soggetti interessati nell’organizzazione.
  • Formazione del personale sui principi di sicurezza informatica, “privacy by design” e “privacy by default”.
  • Designare un responsabile della protezione dei dati DPO (se si impiegano più di 250 persone).
    • A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
      • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
      • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
      • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

2. Audit dei dati

  • Assicurarsi di sapere dove sono custoditi i dati.
  • Chi è autorizzato all’accesso.
  • Su quali dispositivi.
  • Dove vengono elaborati i dati personali (compreso responsabili terzi del trattamento dei dati).
  • Documentare i criteri di liceità del trattamento.
  • Aggiornare le attuali informative sulla privacy.

3. Partner dei servizi
I partner di servizi (servizi integrati di terze parti sul sito, fornitori di servizi a livello di software, ecc.) devono essere conformi al GDPR e dipendere da una giurisdizione riconosciuta “adeguata” per il trattamento dei dati.
Rivedere e mappare i flussi internazionali di dati.

4. Ottenere il consenso

  • Attuare metodi chiari per richiedere, ottenere e registrare il consenso degli utenti.
  • Mantenere un registro preciso con gli utenti che hanno espresso il proprio consenso.
  • Fornire funzioni di revoca o modifica del consenso all’interessato.

5. Fornire i diritti relativi ai dati
Implementare procedure semplici che consentano di rispondere ai diritti dell’interessato: accesso, rettifica e cancellazione dei dati. Tale procedura dovrà essere documentata, sia dalla prospettiva del cliente che del dipendente, su come verrà esercitata.

6. Prepararsi ad intromissioni non autorizzate
Accertarsi che esistano e funzionino procedure adatte per rilevare, indagare e segnalare violazioni dei dati entro un tempo massimo di 72 ore per la notifica prevista dal GDPR.


Multe e sanzioni del GDPR

Le organizzazioni non conformi rischiano ammende fino a 20 milioni di euro, o al 4% del fatturato annuo globale dell’organizzazione, se superiore.


Lavoriamo in team con altri professionisti.

DOT fa parte di gruppi di studio e discussione insieme ad aziende e professionisti del settore. All’unisono stiamo verificando tutti gli aspetti della normativa e le soluzioni più consone da proporre nelle collaborazioni con i nostri rispettivi Clienti.

ISCRIVITI ALL’APPOSITA NEWSLETTER PER RIMANERE AGGIORNATO.


Link utili:

 

Call Now
MAP