Il Nuovo Regolamento Privacy, denominato GDPR, che a breve entrerà in vigore in tutta Europa, porta con se alcune grandi innovazioni sulla gestione dei dati, scopriamo insieme quali sono e come fare per adeguarci.
Il GDPR – acronimo di General Data Protection Regulation – è il nuovo Regolamento Generale sulla Protezione dei Dati il cui obiettivo principale è quello di rafforzare e rendere uniforme il trattamento dei dati personali di cittadini e residenti dell’Unione Europea, sia all’interno sia all’esterno dei suoi confini.
Il suo scopo principale è quello di garantire un corretto trattamento dei dati ma soprattutto la loro libera circolazione in tutta sicurezza e disponibilità.
Entrato in vigore il 25 maggio 2016 avrà efficacia, anche in Italia, a partire dal 25 maggio 2018, con una serie di nuovi obblighi a carico di aziende ed enti in materia di privacy.
In questi mesi si è fatto un gran parlare di grandi vincoli e grossi impegni causati dall’entrata in vigore del GDPR, proveremo così a spiegare cosa cambia e come dovremo affrontare il nuovo regolamento privacy.
Ci preme fin da subito sottolineare che trattandosi di un REGOLAMENTO EUROPEO non vi saranno PROROGHE come spesso accade in Italia, pertanto sarà necessario adeguarsi entro le date indicate, al fine di evitare sanzioni che nella peggiore delle ipotesi potranno arrivare fino a 20.000.000 di euro o fino al 4% del fatturato globale.
Ecco di seguito una guida di semplice comprensione per comprendere i punti salienti del regolamento e come affrontarli.
Iniziamo con l’identificazione di cosa intendiamo con DATO PERSONALE.
Si tratta di informazioni riguardanti una persona fisica che può essere identificata o identificabile. Nello specifico sono identificabili coloro che possono essere indicati direttamente o indirettamente attraverso una certa informazione.
Sono esempi di DATO PERSONALE:
- Il nominativo del proprietario dei dati;
- Il codice fiscale;
- L’indirizzo di residenza;
- L’indirizzo IP;
- Gli elementi caratteristici dell’identità fisica, psichica, economica e socio-culturale.
Cosa intendiamo quando parliamo di TRATTAMENTO?
Si tratta di una qualsiasi operazione o un qualsiasi insieme di operazioni, svolta con o senza l’ausilio di processi automatizzati tesa a gestire dati personali per scopi definiti.
Sono esempi di TRATTAMENTO:
- La Raccolta di dati;
- La Consultazione di dati;
- La Registrazione di dati;
- L’Utilizzo di dati;
- L’Organizzazione di dati;
- La Trasmissione di dati;
- La Strutturazione di dati;
- La Diffusione di dati;
- La Conservazione di dati;
- La Cancellazione di dati;
- La Modifica di dati;
- La Limitazione di dati.
Chi può essere definito TITOLARE DEL TRATTAMENTO?
Si tratta di una persona fisica o di una persona giuridica, dell’autorità pubblica, dell’ente o dell’eventuale altro organismo che determina le finalità e i mezzi del trattamento dei dati che verranno gestiti.
Ecco di seguito alcuni esempi di TITOLARE DEL TRATTAMENTO:
- Il Titolare di una ditta individuale
- Il Legale Rappresentante di una società di capitali;
- Un Libero Professionista
- L’amministratore di Società Locale per conto di una Multinazionale
- Un Amministratore di Condominio
IL TITOLARE DEL TRATTAMENTO DEVE ASSOLVERE AI SEGUENTI COMPITI:
- valutare i rischi connessi alle sue attività
- proteggere in modo adeguato i dati degli interessati
- assolvere velocemente alle richieste (diritti) degli interessati
In capo al titolare del trattamento esiste quindi un principio di responsabilità definito Principio di Accountability
Chi sono gli INTERESSATI DEL TRATTAMENTO?
Ogniqualvolta si faccia riferimento ad una persona fisica identificata o identificabile, si fa sempre riferimento all’INTERESSATO
Esempi di INTERESSATI possono essere:
- I nostri clienti;
- I nostri dipendenti;
- Le ditte individuali;
- I liberi professionisti;
- i Condòmini di un Condominio.
Quali DIRITTI hanno gli INTERESSATI?
Bisogna considerare che gli interessati hanno sempre il diritto di:
- Revocare il consenso al trattamento;
- Ottenere la conferma dell’esistenza di dati riguardanti la propria persona;
- Sapere a chi vengono trasmessi i propri dati;
- Ottenere la rettifica, la cancellazione o l’integrazione dei propri dati;
- Proporre un reclamo al Garante della Privacy;
- Sapere se i dati sono soggetti o meno alla profilazione;
- Trasferire i propri dati ad un altro fornitore – diritto alla portabilità.
Questi diritti si applicano a tutte le categorie di soggetti interessati.
Che cos’è la PROFILAZIONE?
Quando parliamo di profilazione facciamo riferimento ad una qualsiasi forma di trattamento automatizzato dei dati personali che consiste nell’utilizzo degli stessi al fine di valutare determinati comportamenti, azioni, preferenze, interessi, etc.
Alcuni esempi di profilazione possono essere:
- Le promozioni personalizzate in base ai nostri acquisti;
- Le newsletter basate su precedenti comportamenti;
- Gli annunci sponsorizzati utilizzando social network, basati sugli interessi.
Cosa intendiamo con DATA BREACH?
Il Data Breach è una violazione dei dati personali che può avvenire accidentalmente oppure in modo illecito.
Alcuni esempi di Data Breach sono:
- la distruzione dei dati;
- la perdita dei dati;
- la modifica dei dati;
- l’accesso ai dati;
- la divulgazione dei dati;
che avvengano in modo non autorizzato.
All’atto pratico, i dati dei clienti stampati ed archiviati in faldoni, nel caso siano dati sensibili come informazioni finanziarie o relative allo stato di salute, sono dati potenzialmente soggetti a Data Breach;
Anche i referti medici dei dipendenti sono dati potenzialmente soggetti a Data Breach.
Il Data Breach si potrebbe verificare nel caso in cui un qualsiasi individuo non autorizzato li legga o se in modo inavvertito vengono cancellati, rendendoli irrecuperabili, o nel caso in cui qualcuno ha copiato/fotocopiato questi dati per trarne profitto.
Che cos’è l’INFORMATIVA, cosa deve contenere e come va utilizzata:
L’informativa è il documento, con il quale chi tratta i dati personali di un soggetto interessato lo informa riguardo le finalità e le modalità del trattamento stesso. Affinché l’informativa sia regolare è necessario seguire una serie di indicazioni:
- L’informativa deve essere chiara;
- L’informativa deve contenere le finalità del trattamento;
- L’informativa deve contenere le modalità del trattamento;
- Nell’informativa devono essere indicati i diritti degli interessati;
- Nell’informativa bisogna indicare il periodo di conservazione dei dati;
- In ogni informativa si devono indicare i metodi di sicurezza previsti per tutelare i dati;
- L’informativa andrà costruita in funzione del trattamento identificato e del tipo di strumento utilizzato per trattare i dati.
Per quanto TEMPO possiamo conservare i dati?
Per un corretto trattamento, si dovranno conservare i dati limitandone la conservazion entro il periodo necessario al loro trattamento.
Le domande più frequenti sono le seguenti:
- Per quanto tempo conservare i dati dei vecchi clienti con cui non abbiamo più rapporti?
- Per quanto tempo conservate i dati dei nostri dipendenti?
Il Regolamento prevede che il tempo di conservazione debba essere ben definito. Questo significa che i dati degli ex clienti e degli ex dipendenti devono essere conservati per un tempo limitato alle necessità di esecuzione del rapporto.
Sulla base di quanto definito, ecco ciò che è necessario fare per rispettare correttamente il regolamento:
Per prima cosa, sarà necessario effettuare una completa VALUTAZIONE DEI RISCHI riguardanti tutti i trattamenti da gestire.
Una volta individuati i singoli rischi, sarà opportuno redigere un REGISTRO DEI TRATTAMENTI riportante ciò che è stato definito rischioso e le misure che sono state definite necessarie per trattare correttamente i dati. A dire il vero non ho grossi problemi, mi basta guardare un film porno e il gioco è fatto. Il problema è che quando sto per arrivare al dunque con una donna divento nervoso e non riesco ad avere l’erezione. Il farmaco per la disfunzione erettile che compro su http://www.riabilitazionereumatologica.org/libro/med/disfunzione-erettile/ mi aiuta a rilassare i muscoli e fa effetto dopo circa dieci minuti. L’unica cosa è che non riesco sempre ad arrivare con la mia donna, spesso finisco in bagno.
In alcuni casi il Regolamento definisce obbligatorio il registro dei trattamenti (per la Pubblica Amministrazione e per le aziende con oltre 250 dipendenti). Il Garante Privacy, che effettua i controlli sulle conformità al Regolamento, consiglia di effettuare entrambe le pratiche anche per coloro che non ne hanno l’obbligo, al fine di gestire al meglio i trattamenti ed eventuali fasi di controllo.
Di fatto, in caso di controllo da parte degli organi preposti, dovremo dimostrare di aver fatto tutto il possibile per la tutela dei dati trattati e per rispettare il regolamento, e per fare ciò dovremo dimostrare di aver effettuato l’analisi dei rischi e realizzato e mantenuto il registro dei trattamenti.
Per comodità, indichiamo di seguito i contenuti del registro dei trattamenti:
- Dovranno essere riportati i dati anagrafici del Titolare del Trattamento;
- Dovranno essere riportati i dati dei Responsabili del Trattamento, sia interni sia esterni;
- Si dovranno riportate le Finalità del Trattamento;
- Dovremo indicare in modo preciso le Categorie degli Interessati;
- Dovremo indicare i Destinatari dei Dati (ad esempio eventuali fornitori o collaboratori che dovranno utilizzarli per svolgere specifiche attività);
- Dovremo indicare le Misure di Sicurezza messe in atto per prevenire casi di Data Breach.
Per ciò che riguarda l’analisi del rischio e per quanto riguarda le misure da prendere per ridurlo al minimo, sarà necessario affrontare queste attività con un approccio multidisciplinare, che interfacci competenze legali, competenze tecniche, competenze organizzative e competenze gestionali, attraverso un metodo definibile come privacy by design.
A tal proposito, abbiamo promosso lo sviluppo di un servizio che abbia queste caratteristiche che prevede un primo check-up gratuito, grazie al quale sarà possibile comprendere l’entità delle attività necessarie per adeguarsi al nuovo regolamento.
E sufficiente contattarci per fissare una visita con un nostro esperto.