fbpx

Tutte le cose da sapere sul GDPR

Linee guida su come adeguarsi al nuovo Regolamento UE 679/2016 per la privacy (GDPO – General data protection regulation/ RGPD – Regolamento generale sulla protezione dei dati) in vigore dal 25 maggio 2018.

Per assicurare un’uguaglianza legislativa su tutto il territorio europeo e per fronteggiare i nuovi scenari, quali:

  • la continua evoluzione dei concetti di privacy e protezione dati
  • la diffusione del progresso tecnologico
  • la condivisione dei dati ai massimi livelli,

si era reso necessario definire un unico ombrello normativo all’interno dell’Unione.  E’ nato così il nuovo Regolamento Europeo per la Protezione dei Dati (GDPR) numero 2016/679 entrato in vigore il 25 maggio 2016 e applicabile in tutti i Paesi UE a partire dal 25 maggio 2018; esso si applica a tutte le organizzazioni che elaborano i dati di soggetti UE – ovunque l’organizzazione sia basata geograficamente.

Il codice in materia di protezione dei dati personali – D.Lgs. 196/2003 in vigore in Italia dal 2003, lascerà spazio al nuovo Regolamento UE. Il codice della privacy, tuttavia, non è stato abrogato, pertanto coesisterà con il nuovo Regolamento Europeo.

NOTA BENE: il nuovo regolamento si applica soltanto alle PERSONE FISICHE (dipendenti, clienti, fornitori), non anche alle PERSONE GIURIDICHE; per le quali la disciplina rimane invariata.

Oggetto di tutela del nuovo regolamento è il dato personale in sé e la sua riservatezza (per dato personale si intendono tutti i dati della persona, quindi qualsiasi dato relativo a individui identificabili, non soltanto i dati sensibili o giudiziari).

Il GDPR ha introdotto nuovi principi dei quali dovrà tener conto il Titolare del trattamento dei dati nell’esercizio delle sue attività. Si tratta di una grande novità, in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni.

Il principio di ACCOUNTABILITY (responsabilità), si compone di tre aspetti: trasparenza, rendiconto, responsabilità.  L’impresa Titolare del trattamento deve dotarsi di misure di sicurezza adeguate e non più minime per la protezione dei dati e deve documentare le decisioni prese.

Non esisteranno più le misure “MINIME” di sicurezza, ora si parla di misure ADEGUATE (art.32).

Dovrai tenere di conto della natura, del campo di applicazione, del contesto, delle finalità del trattamento dei rischi e, su queste basi, poi mettere in atto misure tecniche e organizzative adeguate per garantire (e riuscire a dimostrare) che il trattamento dei dati è in conformità al Regolamento.

PRIVACY BY DESIGN→ si tratta del principio in base al quale bisogna attuare adeguate misure di protezione dei dati con tecniche organizzative sin dal momento della progettazione e dell’esecuzione del trattamento stesso per garantire il rispetto del Regolamento. Significa che la protezione dei dati deve essere integrata nell’intero ciclo di vita della tecnologia, sin dalla progettazione.

PRIVACY BY DEFAULT→ si tratta di garantire che siano trattati di default (cioè per impostazione predefinita) solo i dati personali necessari per la finalità specifica del trattamento e che la quantità e la durata dei dati sia minima. Si parla di minimizzazione dei dati e limitazione delle finalità.

Per entrambi i principi possono essere utilizzati sistemi di certificazione.

Importante è la rendicontazione. La rendicontazione è l’unico modo per garantire e dimostrare il rispetto del regolamento da parte del titolare del trattamento.

 

NOVITA’ RILEVANTI

  1. LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI
  2. IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
  3. LA FIGURA DEL DPO – DATA PROTECTION OFFICER o RPD – RESPONSABILE PER LA PROTEZIONE DEI DATI
  4. PIU’ DIRITTI PER GLI INTERESSATI – NOVITA’ – DIRITTO ALLA PORTABILITA’
  5. DATA BREACH – NOTIFICA IN CASO DI VIOLAZIONE DEI DATI PERSONALI

 

 

 

Guida pratica: 12 cose da sapere/fare

  1. consapevolezza
  2. informazioni in tuo possesso
  3. comunicazione delle informative sulla privacy
  4. diritti dell’interessato e modalità di esercizio dei diritti dell’interessato
  5. base giuridica per il trattamento dei dati personali
  6. consenso
  7. minori
  8. data breach – violazione dei dati personali
  9. protezione dei dati mediante valutazione dell’impatto sulla protezione dei dati e sulla progettazione
  10. il registro delle attività di trattamento
  11. DPO – RPD

 

  1. CONSAPEVOLEZZA

Chi sono le figure chiave in azienda? Hai un registro dei rischi? Mai fatta una valutazione dell’impatto?

Realizza il proprio organigramma aziendale.

  1. INFORMAZIONI IN TUO POSSESSO

Conduci una verifica completa dei dati in tutta l’organizzazione.

  • documenta quali dati hai (e da dove li hai ottenuti)
  • documenta con chi stai condividendo i dati.

Sapere quali dati hai, da dove provengono e con chi li condividi ti aiuterà a rispettare il principio di responsabilità del GDPR.

  1. COMUNICAZIONE DELLE INFORMATIVE SULLA PRIVACY

Rivedi la tua attuale politica sulla privacy/informativa sulla privacy.

Informativa sulla privacy del server per far sapere alle persone chi sei e come intendi utilizzare i loro dati.

Devi spiegare:

–      la tua base legale per l’elaborazione dei dati

  • periodi di conservazione
  • che le persone possono rivolgersi ad un Responsabile per qualunque problema.

L’informativa è uno strumento di trasparenza. Devi fornire all’interessato tutte le informazioni degli artt. 13, 14, da 15 a 20 e 32 del regolamento, in forma: concisa, trasparente, intelliggibile, accessibile, in modo semplice e chiaro.

L’art 14 indica gli elementi dell’informativa. In caso di raccolta dei dati presso l’interessato, il responsabile fornisce all’interessato nel momento in cui i dati sono ottenuti un’informativa con questi elementi:

  1. identità e coordinate di contatto del titolare oltre a quello del DPO (ove applicabile);
  2. le finalità del trattamento e la base giuridica del trattamento;
  3. se il trattamento è necessario per il perseguimento del legittimo interesse del responsabile, esplicitare tale legittimo interesse;
  4. i destinatari dei dati personali;
  5. l’intenzione di trasferire i dati all’estero o ad un’organizzazione internazionale;

Elementi ulteriori..

  1. periodo di conservazione o criteri per determinare tale periodo;
  2. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  3. il diritto di proporre reclamo a un’autorità di controllo;
  4. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  5. se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi.

L’informativa prevista dal nuovo regolamento è indubbiamente più dettagliata, ma ricalca in linea di massima l’informativa vecchia, con alcune aggiunte (il contenuto minimo è indicato agli artt. 13 e 14).

CONSIGLIO→ cambia la forma di comunicazione dell’informativa ed inseriscila sul sito web dell’azienda, oppure affiggila sulla bacheca in azienda, o ancora, in fattura rimanda al sito web.

Tutto ciò deve essere fatto con una forma concisa e trasparente, con linguaggio semplice, facile da capire e chiaro.

  1. BASE GIURIDICA PER IL TRATTAMENTO DEI DATI PERONALI

Rivedi e documenta la base legale per l’elaborazione dei dati.

Le basi legali devono essere spiegate nella tua informativa sulla privacy e nelle richieste di accesso.

I principi del trattamento sono uguali ai precedenti. I dati devono essere:

  • trattati in modo equo, lecito e trasparente
  • raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo NON incompatibile con tali finalità
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità (minimizzazione dati)
  • esatti e se necessario aggiornati
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (limitazione conservazione)
  • trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, con misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (integrità e riservatezza).

Di tali principi è responsabile il TITOLARE e il RESPONSABILE DEL TRATTAMENTO → deve comprovare il rispetto.

Ogniqualvolta tratti i dati dei tuoi clienti informali su finalità, durata ecc.

 

 

  1. CONSENSO

 

Il trattamento di dati personali da parte di privati è ammesso solo con il consenso espresso dell’interessato.

Il consenso deve essere:

  • specifico per ogni finalità
  • specifico per la tipologia di dati trattati.

Assicurati che i tuoi consensi soddisfino gli standard del GDPR.

Il consenso deve essere verificabile.

Se il consenso fornito dagli utenti non era chiaro (es. se accettavano semplicemente termini e condizioni), dovresti ottenere nuovamente il consenso.

  1. DIRITTI DELL’INTERESSATO e MODALITA’ DI ESERCIZIO DEI DIRITTI DELL’INTERESSATO

 

  • diritto di accesso dell’interessato (art.15)
  • diritto di cancellazione – diritto all’oblio (art.17)
  • diritto di limitazione del trattamento (art.19)
  • diritto alla portabilità (art.20)

Diritto di accesso dell’interessato: l’interessato ha il diritto di ottenere la conferma che sia o meno in corso un trattamento dei dati personali che lo riguardano e il relativo accesso ai dati e alle seguenti informazioni:

  • finalità del trattamento
  • categoria di dati personali in questione
  • destinatari dei dati, in particolare se sono Paesi terzi o organizzazioni internazionali
  • il periodo di conservazione dei dati o il criterio utilizzato per determinare questo periodo
  • l’esistenza del diritto alla rettificazione, cancellazione, limitazione del trattamento e di opposizione
  • diritto di proporre reclamo all’autorità di controllo
  • se i dati non sono raccolti presso l’interessato: tutte le informazioni disponibili sulla loro origine
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

L’interessato ha il diritto di ricevere una copia dei dati personali oggetto di trattamento.

Diritto di cancellazione: l’interessato può chiedere ed ottenere la CANCELLAZIONE dei dati personali senza ingiustificato ritardo e il titolare deve cancellare senza INGIUSTIFICATO RITARDO i dati se ci sono questi motivi:

  • i dati non sono più necessari rispetto a finalità per cui furono raccolti
  • l’interessato ritira il consenso su cui si basa il trattamento
  • l’interessato si oppone al trattamento e non ci sono motivi legittimi prevalenti per procedere al trattamento
  • i dati sono stati trattati illecitamente
  • i dati devono essere cancellati per adempiere ad un obbligo di legge
  • i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Diritto di limitazione del trattamento: l’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

  • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  • benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Diritto alla portabilità dei dati (NOVITA’): l’interessato ha diritto di ricevere in un formato strutturato, di uso comune e leggibile a macchina i suoi dati personali forniti ad un titolare ed ha il diritto di trasmettere tali dati ad un altro titolare del trattamento. In particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato, il cui trattamento sia effettuato con mezzi automatizzati.

L’obiettivo è di accrescere il controllo degli interessati sui propri dati personali.

MODALITA’ DI ESERCIZIO DEI DIRITTI DELL’INTERESSATO

Il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, estendibile fino a 3 mesi in casi di particolare complessità. Ma comunque deve essere dato un riscontro all’interessato entro 1 mese dalla richiesta. Il riscontro, di regola, deve avvenire in forma scritta.

Spetta a te, inoltre, valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere, ma soltanto se si tratta di richieste manifestamente infondate o eccessive.

  1. MINORI

Art. 8 – Per i minori al di sotto dei 16 anni (o se previsto dal diritto degli stati membri, di un età inferiore ma NON al di sotto di 13 anni) il trattamento dei loro dati è lecito solo se e nella misura in cui tale consenso è espresso o autorizzato dal titolare della responsabilità genitoriale del minore.

Ricorda che il consenso deve essere verificabile e che quando si raccolgono dati sui minori la tua informativa sulla privacy deve essere scritta con un linguaggio che i bambini possano capire.

  1. PROTEZIONE DEI DATI MEDIANTE VALUTAZIONE DELL’IMPATTO SULLA PROTEZIONE DEI DATI E SULLA PROGETTAZIONE (PIA-PRIVACY IMPACT ASSESSMENT) → consigliabile

Art.35 – Va fatta quando un tipo di trattamento, allorché prevede uso di nuove tecnologie, considerati la natura, il campo di applicazione, il contesto e le finalità del trattamento può presentare un rischio elevato per i diritti e le libertà delle persone.

La valutazione d’impatto va fatta PRIMA del trattamento (analisi preliminare), per valutare il rischio inerente al trattamento; da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati. Se, all’esito della valutazione, non è stato possibile individuare le contromisure adeguate a quel determinato tipo di trattamento, si potrà consultare ex post l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuo. (Qualora ci sia il DPO, farà da interfaccia con l’autorità garante).

La PIA va fatta una tantum (es. 1 volta all’anno) e dovrà essere aggiornata periodicamente quando sussistono cambiamenti sui rischi inerenti.

Sebbene una valutazione d’impatto sulla protezione dei dati possa essere richiesta anche in altre circostanze, l’articolo 35, paragrafo 3, fornisce alcuni esempi di casi nei quali un trattamento “possa presentare rischi elevati“:

– a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione;

– b) il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;

– c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Questo va inteso come un elenco non esaustivo.

Contenuto MINIMO della valutazione d’impatto:

  • descrizione sintetica dei trattamenti e delle finalità e l’interesse legittimo perseguito dal responsabile del trattamento
  • una valutazione della necessità e proporzionalità dei trattamenti rispetto alle finalità
  • una valutazione dei rischi per i diritti degli interessati
  • le misure previste contro questi rischi.

CONSIGLIO→ familiarizzare con le valutazioni dell’impatto sulla privacy e su come implementarle nella tua   organizzazione

→ valutare quando sarà necessaria una PIA

→ adottare i principi di privacy by design

→ si noti che non è sempre necessario eseguire una PIA – è richiesta una PIA in situazioni ad alto rischio, ad esempio dove viene impegnata una nuova tecnologia o dove è probabile che un’operazione di profilazione influenzi significativamente le persone.

  1. IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO → consigliabile

Art.30 – Ogni titolare del trattamento e il suo eventuale rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

Si tratta di uno strumento fondamentale ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno dell’azienda.

La tenuta del registro non costituisce un adempimento formale bensì parte integrante d un sistema di corretta gestione dei dati personali. Per tale motivo si invitano tutti i titolari di trattamento e i responsabili a compiere i passi necessari per dotarsi di tale registro.

CONTENUTO DEL REGISTRO:

a)nome e coordinate contatto del titolare e di ogni corresponsabile, del rappresentante e del DPO

b)le finalità del trattamento

c)categoria interessati e categoria dati

d)le categorie di destinatari cui saranno comunicati i dati

e)i trasferimenti dei dati ai Paesi terzi o organizzazione internazionale

f)i termini ultimi per la cancellazione dei dati

g)una descrizione generale delle misure di sicurezza tecniche ed organizzative.

Sembra solo burocrazia ma potrebbe essere utile.

Devi tenere sott’occhio le scadenze dei trattamenti e un software potrebbe aiutarti a ricordarle.

Dovrai mappare i dati personali trattati e produrre la relativa documentazione.

Una volta istituito va mantenuto nel tempo; si consiglia un programma automatizzato (sarà più facile tenerlo aggiornato).

  1. DATA BREACH – VIOLAZIONE DEI DATI PERSONALI (art 33)

NOVITA’ RILEVANTE → in caso di violazione dei dati personali, bisogna notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo, ove possibile entro 72 ore dal momento della conoscenza, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche.

Dunque l’obbligo di notifica c’è solo quando sussiste un rischio ELEVATO.

Tuttavia dovrai, in ogni caso, documentare/ rendicontare le violazioni dei dati personali subite, anche se non notificate all’autorità, nonché le relative circostanze e conseguenze e i provvedimenti addottati.

(Es. se perdo una chiavetta contenente dati criptata, il rischio elevato non sussiste, se invece, dei dati vengono rubati da terzi ignoti, allora in questo caso il rischio c’è.)

CONTENUTO MINIMO NOTIFICA DATA BREACH:

1.descrizione natura della violazione, le categorie violate, il numero di interessati

2.il nome e le coordinate di contatto del DPO (ove applicabile)

3.descrivere le probabili conseguenze della violazione

4.descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione.

Il Garante ha istituito 2 caselle PEC per inviare le comunicazioni.

  1. DPO DATA PROTECTION OFFICER – RPD RESPONSASBILE DELLA PROTEZIONE DEI DATI

Si tratta di una nuova figura introdotta dall’art. 37 del Regolamento. Può essere una figura interna (dipendente) o esterna (consulente – preferibilmente, in quanto le caratteristiche principali della figura del DPO sono l’autonomia e l’indipendenza, inoltre deve essere una figura professionale con conoscenza specialistica della norma e delle misure di protezione dei dati).

Il compito del DPO è quello di vigilare sull’azienda affinché metta in pratica gli obblighi per adeguarsi al regolamento. In particolare egli deve:

  • informare
  • sorvegliare
  • fornire, se richiesto, pareri
  • cooperare con Autorità di controllo
  • coordinare attività con Autorità di controllo.

 

Tre casi in cui è obbligatoria la nomina:

1-trattamento effettuato da un autorità pubblica o da un organismo pubblico

2-le attività principali sono trattamenti che per loro natura, campo di applicazione e/o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala

3-le attività principali del responsabile o dell’incaricato consistono nel trattamento su larga scala di categorie particolari di dati: sensibili, giudiziari.

Negli altri casi è facoltativo.

Pertanto solo alcune organizzazioni saranno tenute a nominare un responsabile della protezione dei dati.

Il Garante sta facendo chiarezza su tale figura.

 

ALCUNI CONSIGLI PRATICI:

  • blocca lo schermo del tuo pc
  • non condividere dati personali in modo informale
  • utilizza client di messaggistica sicura
  • cripta le e-mail
  • usa solo reti WI-FI sicure
  • non condividere la rete, per i clienti esterni crea rete WI-FI apposita per non far transitare i dati sulla stessa rete
  • i documenti di tipo cartaceo non devono essere accessibili a tutti, è consigliabile inviare in conservazione sostitutiva
  • i file vanno salvati su cloud certificati
  • non dare per scontato che il tuo fornitore è compliant; assicurati che sia conforme al GDPR
  • non chiedere troppi dati al cliente di cui non ne hai bisogno perché ciò genera solo ulteriori responsabilità
  • pseudomizzazione – anziché individuare il cliente con il nome assegnare un numero matricola
  • importante è motivare sempre le proprie scelte
  • valutare ampliamento della polizza assicurativa.

 

 

Lascia una recensione

avatar
  Subscribe  
Notificami
In cosa possiamo aiutarla?

Per qualsiasi chiarimento non esiti a contattarci!

Looking for a First-Class Business Plan Consultant?