“Siete in regola con il GDPR?” Articolo su YOUTRADE “IMPRESE 4.0”
25 maggio 2018
Sulla rivista Youtrade di Aprile 2018 , nella rubrica “IMPRESE 4.0”, è presente l’approfondimento curato dalla nostra esperta in digitale dr.ssa SONIA ZANON, che fa parte anche del Centro di Consulenza Aziendale NAV-lab.
L’articolo è intitolato : ” SIETE IN REGOLA CON IL GDPR?” evidenzia il contenuto della normativa in relazione agli obblighi per le aziende italiane.
“” Il tuo sistema informativo è in regola con il GDPR?
Dal 25 maggio 2018 sarà operativa la nuova normativa europea relativa alla protezione dei dati personali (GDPR – General Data Protection Regulation) pubblicata il 4 maggio 2016 ed entrata in vigore il 25 maggio dello stesso anno.
L’obiettivo del regolamento è di uniformare le normative dei diversi Paesi membri dell’Unione Europea in un unico norma generale per garantire la privacy delle persone fisiche all’interno del mercato Europeo e rimuovere gli ostacoli alla circolazione dei dati personali.
La normativa tutela il diritto di ogni persona fisica di essere sicuro che i propri dati vengano utilizzati esclusivamente per gli scopi e le finalità a cui ha dato il proprio consenso.
Ma quali sono le parole chiave principali di questa nuova normativa?
Eccole di seguito in un elenco con relativa breve descrizione che può essere d’aiuto alle aziende per comprendere le attività da attuare.
RESPONSABILIZZAZIONE O ACCOUNTABILITY: ogni azienda e il titolare del trattamento dei dati hanno il compito di assicurare, ed essere in grado di provare, il rispetto dei principi applicati dal trattamento dei dati personali GDPR.
A differenza della norma sulla Privacy Italiana attualmente in vigore che richiede una condotta basata sull’attuazione delle misure minime di sicurezza per la protezione dei dati, la nuova normativa europea impone invece una condotta proattiva tale da dimostrare la concreta adozione delle misure necessarie ad assicurare l’applicazione del regolamento stesso.
DPO Data Protection Officer o Responsabile della Protezione dei Dati: persona o organo addetto alla sorveglianza in merito al sistema di gestione dei dati conforme al GDPR. Gode di piena autonomia sia per risorse umane che finanziare che devono essere utilizzate per implementare tutte le disposizioni necessarie al rispetto della norma. Riferisce direttamente al titolare dell’azienda, non sono necessari attestati formali a dimostrazione delle competenze professionali e non è necessaria l’iscrizione all’albo dei “Responsabili della protezione dei dati”. E’ obbligatorio nelle realtà con più di 250 addetti, oppure in caso di trattamenti particolarmente delicati e rischiosi
DPIA Data Protection Impact Assessment o Valutazione dell’Impatto sulla Protezione dei Dati: insieme di controlli per la valutazione dei rischi derivanti dal trattamento dei dati personali per i diritti e le libertà degli interessati; obbligatoria quando si presume un rischio elevato, è comunque consigliata in tutti i casi. I contenuti sono dettagliatamente indicati all’art. 30 GDPR.
REGISTRO DEI TRATTAMENTI DEI DATI: obbligatorio nelle realtà con più di 250 addetti, oppure in caso di trattamenti particolarmente delicati e rischiosi, è consigliato perché può costituire parte integrante di un sistema di corretta gestione dei dati personali.
TITOLARE DEL TRATTAMENTO: azienda o ente che ha potere decisionale sull’utilizzo e la modalità di gestione dei dati raccolti.
PRIVACY BY DEFAULT e BY DESIGN: necessità di configurare il trattamento dei dati su scopo del trattamento e tempo di detenzione dei dati, prevedendo fin dall’inizio le garanzie indispensabili, al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.
DATA BREACH o Violazione dei Dati: qualsiasi violazione dei dati trattati come distruzione, perdita, accesso o divulgazione non autorizzati. E’ necessario che l’azienda notifichi alle autorità di controllo le violazioni ai dati personali, di cui è venuta a conoscenza, entro 72 ore se si ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. La notifica deve essere comunicata anche ai proprietari dei dati violati. In ogni caso i titolari del trattamento dei dati dovranno documentare le violazioni subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché i provvedimenti adottati per impedire nuove violazioni.
Ma quali sono i dati che il GDPR tutela?
La normativa tutela i dati personali, ovvero tutti quei dati che identificano una persona fisica e possono fornire dettagli sulle sue caratteristiche (come abitudini, stile di vita, relazioni personali, stato di salute, situazione economica, geolocalizzazione..); i dati anagrafici (ad esempio: nome e cognome, foto, codice fiscale…); i dati sensibili, come l’origine razziale ed etnica, le convinzioni religiose, politiche, o di altro genere; i dati giudiziari, che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale.
I dati si considerano “personali” se consentono l’identificazione della persona fisica direttamente ma anche indirettamente, tramite l’incrocio dell’informazione con altri dati. Il dato personale è un concetto dinamico che va sempre riferito al contesto: ne è un esempio la tecnica di tracciamento per poter identificare i navigatori online. Infatti i cookie sono considerati dati personali. Sono dati personali gli indirizzi e-mail, l’identità digitale, l’account name o nickname. Anche le informazioni riguardanti la vita professionale e pubblica di una persona sono dati personali, definendo quindi che non c’è confine nella tutela dei diritti delle persone giuridiche.
I primi dati a dover essere tutelati sono quelli dei propri dipendenti e collaboratori: Certificazione Unica, cedolini degli stipendi, appartenenza ai sindacati sono solo il primo esempio.
A questo seguono dati bancari, non solo di dipendenti ma anche di azienda, fornitori, clienti.
Qualsiasi azienda ormai tratta tutti questi dati digitalmente, tutti abbiamo il dovere di proteggerli per la responsabilità nei confronti di coloro che ce li hanno affidati.
Quali sono i diritti degli interessati?
Gli interessati hanno diritto di poter accedere anche in autonomia ai propri dati, di ricevere una copia dei dati personali oggetto di trattamento, di chiedere la cancellazione dei propri dati (diritto ‘’all’oblio’’), di ricevere – entro 30gg dalla raccolta dei dati – l’informativa con le specifiche sulle finalità del trattamento, quali dati vengono mantenuti, da chi vengono trattati e per quanto tempo conservati.
Perché essere in regola?
Le sanzioni, a differenza dell’attuale norma, possono arrivare fino al 4% del fatturato o fino a 20 mln di euro (art. 83 e 84 GDPR).
I danni, in caso di violazione dei dati, non sono solo economiche ma anche di immagine dovendo notificare ai proprietari dei dati la violazione subita. Essere in regola con la norma vuol dire dare garanzia di lavorare in qualità e rispettare i dati e le informazioni ricevute, una sicurezza e valore aggiunto in più per il proprio business.
Il tuo sistema informativo è in regola?
Le applicazioni software che utilizzate per raccogliere i dati rispondono alla richiesta della normativa del diritto all’oblio (cancellazione) dei dati di un utente?
I vostri sistemi operativi e antivirus sono aggiornati? Una delle prime cause di accesso illecito è dovuto a sistemi obsoleti e non aggiornati alle ultime release!
Il vostro sistema informativo è dotato di una soluzione per la protezione della rete? I firewall, già obbligatori con la precedente normativa, sono diventati dispositivi necessari per la protezione perimetrale della rete aziendale. E’ però fondamentale che i firewall siano dotati di tutti i componenti di “intrusion prevention”: se sono presenti rispondete alla richiesta del GDPR di essere proattivi!
La vostra soluzione risiede in Cloud?
Il fornitore del cloud vi ha già fornito la documentazione aggiornata relativa al nuovo trattamento dei dati?
Un buon metodo per “alleggerirsi” dalle attività di messa in sicurezza della propria infrastruttura è l’utilizzo del cloud, sia nella fornitura di Platform as a Service (per l’hosting) sia nella fornitura di Software as a Service (soluzioni gestionali e applicative fornite con servizi in cloud).
Attenzione però che il fornitore dei servizi cloud fornisca la garanzia che l’ambiente sia compliance con quanto richiesta dal GDPR! “”
Dr.ssa Sonia Zanon, Centro di Consulenza Aziendale NAV-lab, Esperta in Digitale in Ingest Srl
Sei in fase di trasformazione digitale delle tua azienda
e hai bisogno di una consulenza e demo in ambito 4.0?
CONTATTACI
oppure scrivici in CHAT cliccando sul simbolo