Le nuove regole sulla privacy in Ue e come adeguarsi

Una panoramica completa per le aziende

GDPR Le nuove regole della privacy in Europa

Deasoft ti guida nel percorso verso la conformità

La GDPR è il più importante regolamento nella disciplina della privacy degli ultimi 20 anni, scopri che cos’è e come adeguare la tua azienda entro Maggio 2018.

I dati e la digitalizzazione

La digitalizzazione, con tutto quello che comporta, ha generato e continua a generare una quantità enorme di dati. Spesso sono dati personali o sensibili e devono quindi essere gestiti con cura e attenzione da parte delle imprese.

Pensiamo un attimo alla “vita” che svolgiamo online. Ogni giorno lasciamo traccia di noi stessi nelle piattaforme social che frequentiamo, lasciamo i nostri numeri, le email o i dati bancari per acquistare qualcosa o anche solo per registrarsi in un sito o scaricare un file. E se tutti questi dati finissero nelle mani sbagliate?

Al lato un’infografica mostra la quantità di dati generata ogni minuto delle aziende in ambito IT, e da un’idea della dimensione dei dati prodotti dalla digitalizzazione. Molte di quelle aziende e non solo detengono ormai un mole di informazioni tale per cui c’è stato bisogno dell’intervento del regolatore.

data generated every minute

La GDPR - Che cos'è e cosa comporta per le aziende

La Commissione Europea, dopo quattro anni di negoziati, ha presentato il nuovo Regolamento UE 2016/279 nel dicembre 2015 ed è stato pubblicato in Gazzetta Ufficiale a maggio del 2016. Andrà in vigore in tutti gli Stati membri ufficialmente da Maggio 2018.

Il nuovo regolamento, chiamato con l’acronimo GDPR (che sta per General Data Protection Regulation), andrà a disciplinare la raccolta, l’elaborazione e più in generale la gestione dei dati sensibili dei clienti/utenti da parte delle aziende. È stato deciso per fornire un maggiore e migliore controllo sui dati personali, e coinvolge tutte le tipologie di azienda stabilendo un solo set di regole per tutti in Europa.

Una parte fondamentale del regolamento impone di richiedere il consenso alle persone i cui dati saranno trattenuti. E le organizzazioni dovranno essere in grado di mostrare come e quando il consenso è stato ottenuto.

Inoltre il consenso può essere anche implicito, da il rapporto che c’è (o c’è stato) tra l’individuo o la compagnia. I dati ottenuti devono essere però specifici, espliciti e per scopi legittimi. Gli individui devono essere in grado di revocare il consenso in qualsiasi momento e avere la possibilità di cancellare il dato quando non è più richiesto per i scopi per i quali è stato registrato.

Cosa si intende per dati personali?

Qualunque informazione che identifica o può identificare una persona. Con la GDPR vengono ampliate le categorie di dati personali incluse, ad esempio anche informazioni indirette come quelle fisiche, psicologiche, genetiche, economiche o culturali che potrebbero tracciare uno specifico individuo.

Quando le aziende ottengono dati ad esempio dai consumatori, i seguenti punti devono essere chiari:

  1. Identità e i contatti dell’azienda
  2. Lo scopo per il quale i dati sono richiesti e come saranno usati
  3. Se i dati saranno trasferiti a livello internazionale
  4. Il periodo per il quale i dati saranno archiviati
  5. Il diritto di ognuno di accesso ai dati e il diritto di rettifica o cancellazione
  6. Diritto di revoca del consenso in qualsiasi momento

Agli individui quindi sarà garantito il pieno accesso alle informazioni sul come quei dati sono elaborati, e quando ne fanno richiesta, questa deve essere eseguita senza indebiti ritardi o massimo entro un mese dal ricevimento della richiesta. Tutti i dati devono essere esportabili in un formato strutturato, comunemente usato e machine-readable (leggibile e processabile da un dispositivo tecnologico).

IMPORTANTE: dove le richieste di accesso ai dati sono manifestamente infondate o eccessive, le piccole e medie aziende possono addebitare delle spese per fornire l’accesso.

Il regolamento non stabilisce dei requisiti minimi di sicurezza, ogni azienda deve fare le proprie valutazioni. Le imprese infatti saranno tenute a implementare appropriate misure tecniche e organizzative in relazione alla loro natura, alle motivazioni, al contesto e agli obiettivi nella gestione e nel processo di analisi dei dati personali.

Le aziende che lo necessitano, a seconda della propria natura e grandezza, devono prevedere un’apposita figura professionale: il data protection officer. A dotarsi di un DPO devono essere tutte le aziende pubbliche e private che svolgono trattamenti e processi sui dati potenzialmente in grado di ledere i diritti delle persone coinvolte. Ciò vuol dire che hanno la necessità di essere monitorati da un soggetto indipendente, che può essere sia interno all’azienda ma anche esterno. E’ importante altresì che il DPO sia qualificato, abbia potere di controllo, che non sia in conflitto di interessi ma che sia costantemente in contatto diretto con il il comparto direzionale dell’organizzazione.

data privacy
furto di dati
penalties

Cosa prevede la GDPR in caso di violazioni o furti di dati?

In caso di violazione dei dati personali, la società deve informare l’autorità di vigilanza preposta “senza indebito ritardo e, ove possibile, non più tardi di 72 ore dopo esserne venuto a conoscenza” se è probabile che la violazione “comporti un rischio per i diritti e libertà degli individui”.

In particolare in caso di violazione l’azienda lesa deve sapere con certezza:
a) Come è stato gestito quel set di dati
b) Che sistema di sicurezza era stato adottato

La GDPR introduce delle sanzioni pecuniarie molto consistenti, per le aziende che non sono in grado di dimostrare di aver adottato le misure necessarie, che vanno dai 10 milioni (o 2% del fatturato) fino ad un massimo di 20 milioni (o 4% del fatturato) per i casi più gravi.

Ecco 9 consigli per prepararsi al GDPR in vista dell'entrata in vigore a Maggio 2018:

1. Individuare tutti i dati presenti e gestiti in azienda

2. Organizzare i dati in gruppi definiti e stabilire per ognuno di essi le finalità per le quali vengono trattati
Attenzione: le finalità devono essere dimostrabili.

3. Per ogni gruppo di dati definire le modalità e le figure autorizzate ad accedervi

4. Per ogni gruppo definire modalità e tempi di conservazione
Attenzione: il tempo di conservazione va giustificato

5. Stabilire una informativa sulla privacy e la raccolta del consenso in funzione dei dati trattati

6. Stabilire un adeguato sistema di sicurezza a protezione dei dati

7. Definire una procedura per la gestione degli incidenti informatici

8. Definire procedure per un rapido accesso ai dati immagazzinati

9. Valutare l’adozione di un DPO

I tre pilastri del nuovo regolamento:

Gabriele Faggioli
Presidente di Clusit – Associazione Italiana per la sicurezza informatica
Codirettore Scientifico – Osservatorio Security & Privacy Politecnico di Milano

Come Deasoft può aiutarti a raggiungere la conformità

Deasoft ha maturato una forte esperienza nel trattamento dei dati personali, e pensiamo che l’arrivo della GDPR sia un’occasione per alzare gli standard di sicurezza della gestione dati nelle aziende italiane, e che questo rinnovo gioverà non solo ai consumatori.

Abbiamo un ampio know-how in particolare nella gestione di dati clinici e sanitari, acquisito durante gli anni grazie alla nostra esperienza su tutto il territorio Italiano con molte realtà ospedaliere, tra le quali l’Istituto Ortopedico Rizzoli e l’Ospedale Bellaria di Bologna. Inoltre siamo partner tecnologici per Bludental, una delle più diffuse catene di cliniche dentistiche in Italia, per la quale garantiamo elevati standard di sicurezza.

La raccolta dei dati, il trattamento e la garanzia della privacy sono state sempre la nostra priorità, per questo conosciamo da vicino le difficoltà che si incontrano quando si parla di gestione di dati sensibili e soprattutto sappiamo come superarle.  Negli anni abbiamo sviluppato pratiche, metodologie e processi consolidati in ambito di data management e ora vogliamo trasmetterle anche alla tua organizzazione.

Fatti trovare preparato!
TI AIUTIAMO A CREARE UN PIANO D’AZIONE PER LA TUA AZIENDA.

Non avere paura del nuovo regolamento e affidati a dei professionisti.
Si tratta solo di arrivare pronti all’appuntamento con le implementazioni giuste.

regolamento privacy Gdpr