La tua azienda è preparata ai cambiamenti che il GDPR introdurrà in materia di Privacy e di trattamento dei dati personali? E soprattutto quali sono gli adempimenti che devi fare se tratta dati personali?
A meno di due settimane dell’entrata in vigore del nuovo decreto, c’è ancora molta disinformazione a giro. Una ricerca di VansonBourne condotta a settembre 2017, per conto di WatchGuard Technologies, ha intervistato un campione di più di 1600 aziende in tutto il mondo e ha evidenziato che: IL 37% NON SA SE LA PROPRIA AZIENDA DEBBA O MENO SODDISFARE I CRITERI DI CONFORMITÀ DEL GDPR IL 28% CREDE CHE LE NORME DEL GDPR NON RIGUARDINO IL LORO CASO SPECIFICO
Ma prima di tutto facciamo chiarezza su cosa sia il GDPR.
GDPR sta per General Data Protection Regulation e altro non è che il Regolamento UE 2016/679 entrato in vigore il 24 maggio 2016 e che sarà operativo dal 25 maggio 2018.
Il GDPR nasce dalle necessità, come indicato dalla Commissione Ue, da una parte di semplificare le norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo; dall’altra di rispondere alle richieste di tutela dei suddetti dati sempre più avvertite dai cittadini Ue.
Per capire bene il GDPR bisogna capire a cosa ci riferiamo quando parliamo di dato personale. L’obiettivo principale del GDPR è infatti favorirne la protezione.
Quindi che cosa si intende per dati personali?
I dati Personali sono tutte quelle informazioni che permettono di identificare una persona fisica, dando dei dettagli sulle sue caratteristiche culturali e psicologiche, sulle abitudini, sullo stile di vita, relazioni personali. Rientrano quindi informazioni come nome, cognome, indirizzo di residenza, riferimenti bancari, etc. sono tutti dati personali.
Rientrano nei dati personali i:
- Dati genetici. I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.
- Dati biometrici cioè i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono oconfermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
- Dati relativi alla saluteI dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Per proteggere i dati, le regole del GDPR definiscono le attività che li coinvolge cioè il trattamento. Trattiamo un dato non solo quando lo utilizziamo, ma anche quando lo raccogliamo o cancelliamo. Ma cerchiamo di essere più precisi nel definire cosa sia il trattamento. Con questo termine indichiamo:
“Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.” – General Data Protection Regulation 2016/679
Quali sono le figure coinvolte dalle norme del GDPR?
- L’interessato cioè la persona fisica a cui si riferiscono i dati. Egli è tenuto a dare il proprio Consenso cioè una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
L’interessato ha diritto di:
• Accedere, modificare o trasferire i propri dati personali
• Sapere quale tipo di attività (e per quanto tempo) viene svolta sui propri dati personali
• Diritto di cancellazione dei propri dati personali (diritto all’oblio)
• Diritto a limitare le attività al trattamento
• Ricevere comunicazioni in caso di rischio per i propri dati o per una violazione avvenuta
Per consentire un’efficace catena di protezione del dato personale durante le attività di trattamento il GDPR definisce di ruoli e compiti delle figure interne ed esterne alle aziende o agli istituti o enti che sono coinvolti nel trattamento.
2. Titolare del Trattamento cioè la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Una novità importante dal punto di vista organizzativo viene introdotta dalla possibilità di nominare dei sub responsabili, ciò consentirà una migliore mappatura dei flussi di dati esterni all’organizzazione del Titolare. Il Regolamento comunitario introduce anche la figura del Co-titolare co responsabile mediante un accordo interno del trattamento dei dati e quindi delle reciproche responsabilità.
Il Titolare del Trattamento deve:
• Agevolare la protezione dei dati personali già in fase di progettazione di tutte le attività di trattamento = PRIVACY BY DESIGN
• Adottare misure di sicurezza, valutando a priori i rischi generati nel processo di trattamento
• Garantire trasparenza sui flussi di dati e sulle attività di trattamento
• Intervenire prontamente in caso di violazione (anche detta data breach)
• Adeguarsi per stabilire ruoli e responsabilità in ogni attività del trattamento
3. Responsabile del trattamento. La persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. È designato dal Titolare del trattamento, tramite contratto. Il responsabile deve:
- tenere il Registro dei trattamenti svolti contenente un quadro aggiornato dei trattamenti in essere all’interno
dell’azienda “indispensabile per ogni valutazione e analisi del rischio”; - adottare misure tecniche e organizzative per garantire la sicurezza dei trattamenti;
- designare, nel caso in cui sia necessario, il Responsabile per la protezione dei dati RPD / Data Protection officer – DPO)
Titolari e ai Responsabili per essere compliant, vale a dire per rispettare ed essere in linea con ciò indicato nel Regolamento dovranno attuare una serie di passaggi concreti in tutti quei processi aziendali che, direttamente o indirettamente, prevedono il trattamento dei dati personali.
4 .Il DPO Il Data Protection Officer è la risorsa interna, o esterna, interamente responsabile della protezione dei dati personali. È una figura obbligatoria per i soggetti le cui attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o un trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Chi deve dotarsi di questa risorsa ?
Istituti di credito, imprese assicurative, società finanziarie, società di revisione controllo, CAF e patronati, società operanti nel settore della cura della salute, della prevenzione, della diagnostica della diagnostico sanitaria.
Attenzione! NON sei obbligato a designare un DPO se sei un (libero professionista ed operi in forma individuale, se sei un agente, un rappresentante, un mediatore non operante in larga scala, se sei un’impresa individuale, se sei una piccola o media impresa con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Il ruolo di RPD può essere ricoperto da un dipendente del Titolare o del Responsabile che conosce la realtà operativa in cui i dati sono trattati; ma può essere affidato anche a soggetti esterni a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento UE n. 679/2016 assegna a tale figura.
Per quale motivo si è deciso di intervenire con il GDPR?
L’introduzione del citato Regolamento UE n. 679/2016 sul trattamento dei dati ha, come scopo principale, l’armonizzazione delle regole sul trattamento dei dati in tutta l’Unione
Europea.Precedentemente all’emanazione delle nuove norme, la protezione del dato personale, considerato una parte fondante della personalità dell’individuo, era minacciata dalla differenza di regole che presiedevano al trattamento del dato.L’armonizzazione dei principi su tutto il territorio comunitario e l’obbligo per i soggetti che tratteranno dati dei cittadini comunitari di adeguarsi ai dettami del Regolamento ha come scopo di eliminare le lacune di protezione che incombevano sui dati quando questi ultimi circolavano tra i diversi titolari. Il Legislatore ha limitato la potenziale portata negativa per le libertà degli interessati nata dalla rapida diffusione e pervasività delle nuove tecnologie che hanno notevolmente ristretto le distanze tra i diversi Stati.
Infatti, se precedentemente all’introduzione del Regolamento l’applicabilità della legge era definita considerando la sede del Titolare, con la nuova normativa si dovrà considerare la
residenza del cittadino all’interno dei confini europei.
Un approccio di questo tipo consentirà di imporre ai Titolari del trattamento, anche residenti al di fuori dell’UE, il rispetto del Regolamento e quindi garantirà un maggior grado di
protezione ai cittadini quandanche dovessero utilizzare beni e servizi offerti da soggetti non comunitari. Oltre a ciò, l’introduzione dei principi di data protection by design e data protection by default mira, in ultima analisi, a far sì che la protezione della sfera privata dell’interessato venga considerata fin dalla progettazione dei trattamenti, imponendo ai titolari la
minimizzazione della raccolta, comunicazione e utilizzo dei dati.
La limitazione della raccolta in termini qualitativi e quantitativi, infatti, deve essere valutata in funzione delle finalità per cui è stata prevista, senza indulgere nella tentazione di
assicurarsi un maggior numero di informazioni rispetto allo scopo previsto.
In estrema sintesi, quattro sono gli obiettivi fondamentali del GDPR e cioè proteggere:
• i dati personali,
• agevolare il controllo dei soggetti sui loro dati,
• strutturare le responsabilità dei Titolari e dei responsabili,
• semplificare le modalità di raccolta e di elaborazione dei dati.
IL GDPR Si FONDA SU APPROCCIO BASATO SUL RISCHIO E PRINCIPIO DI ACCOUNTABILITY
La nuova impostazione, in riferimento all’utilizzo di dati ed informazioni, si basa sostanzialmente su un approccio che vuole arrivare alla massima riduzione del rischio per la libertà e la dignità del cittadino. Per ottenere questo scopo, il Legislatore ha introdotto il principio di accountability, inteso quale “responsabilizzazione” e di un concomitante obbligo di rendicontazione delle
misure intraprese per essere coerenti con il nuovo impianto normativo. La finalità ultima dell’introduzione del nuovo principio parte dall’assunto che l’obbligo
di dimostrare il rispetto della normativa, posto in capo al Titolare del trattamento, è già, di per sé stesso, una garanzia di rispetto della norma imponendo un passaggio da una protezione
meramente formale ad una protezione sostanziale generata dalla necessità di dover dimostrare, nel corso del tempo, l’adozione di misure realmente efficaci.
Cosa implica il GDPR per le aziende? Cosa devono fare?
Informativa
DPIA- Valutazione Rischio
Registro Trattamenti
DPO – Data Protection Officer (in casi specifici). Ne abbiamo parlato sopra tra le figure interessate al GDPR.
1. Prima di tutto INFORMARE
Il contenuto dell’Informativa deve rispettare quanto previsto dagli artt. 13, par. 1 e 14,
par. 1, Regolamento n. 679/2016. Ispirandosi direttamente al principio di trasparenza (art. 5, par. 1, lett. a) il Legislatore impone al Titolare la predisposizione di Informative accessibili, concise e scritte con un linguaggio chiaro e semplice, di facile comprensione. Le informative dovranno quindi specificare una serie di informazioni quali la provenienza dei dati personali in caso di utilizzo, i tempi di conservazione degli stessi, gli scopi del trattamento, il trasferimento dei dati in Stati terzi e, in caso positivo, tramite quali canali, le finalità del trattamento nonché i diritti dell’interessato
Oltre alla Informativa “estesa” si potrà allegare all’Interessato una versione più breve, per agevolare la comunicazione di ciò che intendiamo fare con i suoi dati, secondo quali modalità e perché.
E’ finita l’era delle pagine infinite di termini e condizioni incomprensibili che spesso accettiamo senza leggere!
Attenzione! Per procedere al trattamento, l’interessato dovrà approvare l’Informativa tramite un consenso valido cioè espresso dall’interessato in modo inequivocabile per ogni singolo trattamento dei suoi dati.
2. Elaborare la DPIA- Valutazione Rischio
Anche secondo il GDPR le aziende devono valutare e prevedere TUTTI i rischi che implica l’attività di trattamento dei dati e una corretta gestione degli stessi tramite
la valutazione del rischio (detta anche Data Protection Impact Assessment – DPIA). I Titolari del trattamento dovranno realizzare una vera e propria valutazione attraverso un processo che avverrà in 3 fasi principali: analisi dei rischi, definizione dei gap rispetto alla corretta gestione dei rischi (gap list) e definizione di un action plan per intervenire.
3 Creare il Registro Trattamenti che dovrà indicare:
• Il nome e i dati di contatto del Titolare del trattamento e, se presente, del Contitolare del trattamento, del Rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
• Le finalità del trattamento;
• La descrizione delle categorie di Interessati e delle categorie di dati personali;
• Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
• Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
• I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• Una descrizione generale delle misure di sicurezza tecniche e organizzative.
Attenzione:! Il Registro del Trattamento non è obbligatorio per le imprese con meno di 250 dipendenti, salvo che il trattamento presenti un rischio per i diritti e le libertà dell’Interessato, non sia occasionale o includa la gestione di categorie particolari di dati (o dati personali relativi a condanne penali e a reati).
Nonostante queste clausole, il Garante ha invitato tutti i Titolari e i Responsabili a dotarsi del Registro, a prescindere dalle dimensioni dell’organizzazione.
SANZIONIABILITA’
Se violiamo i dati personali andiamo incontro a multe molto salate. La violazione, o data breach, si attua non solo quando i dati personali vengono resi accessibili e divulgati senza autorizzazione, ma anche quando vengono distrutti, persi o modificati. Se la tua azienda si trovasse a gestire un data breach due sono le cose principali che è necessario fare:
- notificare all’Autorità di controllo la violazione dei dati personali della quale sei venuto a conoscenza entro 3 giorni.
- informare anche l’Interessato dei dati coinvolti nella violazione, senza un ritardo ingiustificato;
Non si tratta di due passi obbligatori ma ti consigliamo di procedere se ritieni che dalla violazione derivino rischi per gli interessati. In ogni caso dovrai documentare le violazioni subite.
E le sanzioni? Pesanti.
Se non rispetti ciò che è indicato nel GDPR potrai subire sanzioni fino a 20.000.000€ oppure fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (la sanzione riguarda l’intera holding/gruppo), se superiore. Non è finita qui. Le autorità di controllo possono imporre limiti, o addirittura vietare un trattamento; questa decisione in certi casi può comportare conseguenze economiche ben più gravi per un’azienda rispetto alle sanzioni sopra citate.
Marketing col Cuore, nel pieno rispetto dei tempi e dei termini della nuova normativa, fornirà la massima tutela della privacy ai suoi clienti, ai sui Partner ed a tutti coloro che, a qualsiasi titolo, si relazioneranno con la sua realtà commerciale. E infatti ci siamo già attivati per aggiornare il nostro sito web in tal senso sia in materia di Privacy Policy sia di Cookie Policy.
Ti è stato utile l’articolo? Cosa ne pensi? Sei già in regola con il GDPR?
La tua opinione per noi è importante per continuare a migliorarci. Commenta qua sotto.
Se hai bisogno di maggiori informazioni contattaci, scrivendoci o telefonandoci al nostro numero verde gratis anche da cellulare.
0 commenti