GDPR

Regolamento Europeo n.679/2016

La nuova normativa è entrata pienamente in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2018.

Che cos’è il GDPR?

Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE). Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.

Che cos'é un dato personale ?

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Dati soggetti a trattamento speciale

L'articolo 9 del GDPR sancisce un generale divieto di trattare i dati sensibili che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. 

Anche i dati giudiziari sono considerati dati sottoposti a trattamento speciale e sono quei dati che rivelano l'esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale, o la qualità di indagato o imputato. 

Cos'è il diritto alla protezione dei dati personali?

Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo tutelato dal Codice in materia di protezione dei dati personali (decreto legislativo 20 giugno 2003, n. 196), oltre che da vari altri atti normativi italiani e internazionali. In particolare, grazie ad esso ogni individuo può pretendere che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabilti dalla legge.

Che cosa deve fare la tua azienda

Il tuo obiettivo è quello di aggiornare le norme sulla protezione dei dati personali, che sono regolamentate a livello europeo, adeguandole al nuovo regolamento General Data Protection Regulation- Regolamento UE 2016/679.
Con la nuova legislazione tutte le aziende che gestiscono dati personali dei cittadini Europei dovranno sottostare a nuovi obblighi e responsabilità.

Leggi il testo del GDPR originale

Il primo passo è leggere il nuovo regolamento europeo sul trattamento dei dati personali e valutare quali novità, introdotte dal nuovo Regolamento, sono applicabili alla tua attività.

Cosa vuol dire 'trattamento dei dati' ?

Il 'trattamento' copre una vasta gamma di operazioni eseguite sui dati personali, incluse quelle con mezzi manuali o automatizzati. Comprende la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione di dati personali.

Esempi di trattamento:
    - gestione del personale e amministrazione delle paghe;
    - accesso/consultazione di una banca dati di contatti contenente dati personali;
    - invio di e-mail promozionali o newsletter;
    - triturazione di documenti contenenti dati personali;
    - postare/mettere una foto di una persona su un sito web;
    - memorizzazione di indirizzi IP o indirizzi MAC;
    - videoregistrazione (CCTV).

Il GDPR si applica alle società ?

No, le norme si applicano solo ai dati personali delle persone fisiche, non regolano i dati delle società o di altre persone giuridiche.

Tuttavia, le informazioni relative alle imprese individuali possono costituire dati personali se consentono l’identificazione di una persona fisica.

Le norme si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, quali ad esempio i dipendenti di un’azienda/organizzazione, come gli indirizzi e-mail aziendali del tipo «Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.» o i numeri telefonici aziendali dei dipendenti.

Quali dati personali tratti ?

Dopo aver letto il testo del GDPR è necessario capire quali dati personali (nome e cognome di una persona, i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono ma anche eventuali foto per gestire fidelity card, ecc.) e a trattamento speciale (sensibili e giudiziari) vengono trattati nella tua azienda, per quali finalità li utilizzi, a quali rischi sono esposti e a chi vengono comunicati.

Per quali finalità li raccogli ?

Il tipo e la quantità di dati personali che un’azienda può trattare dipendono dal motivo del trattamento (motivo giuridico utilizzato) e da ciò che si desidera fare con essi.

I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario allo scopo. È responsabilità dell'azienda, in qualità di titolare del trattamento, valutare la quantità di dati necessaria e garantire che non vengano raccolti dati irrilevanti.

Informa le persone sul trattamento dei dati

Al momento della raccolta dei dati, le persone devono essere informate chiaramente almeno su quanto segue:

  • chi è la tua azienda (i tuoi dati di contatto ed eventualmente quelli del tuo responsabile della protezione dei dati);
  • perché la tua azienda utilizzerà i loro dati personali (finalità);
  • le categorie di dati personali interessate;
  • la giustificazione giuridica per il trattamento dei dati;
  • per quanto tempo saranno conservati i dati;
  • chi altro potrebbe riceverli;
  • se i loro dati personali saranno trasferiti a un destinatario al di fuori dell’UE;
  • che hanno diritto a una copia dei dati (diritto di accesso ai dati personali) e altri diritti fondamentali nel campo della protezione dei dati (cfr. elenco completo dei diritti);
  • il loro diritto di presentare un reclamo presso le autorità competenti per la protezione dei dati personali;
  • il loro diritto di revocare il consenso in qualsiasi momento;
  • se applicabile, l’esistenza di un processo decisionale automatizzato e la logica implicita, comprese le relative conseguenze.

Proteggi i dati fin dall’inizio

Ai sensi del GDPR, dovrai adottare tutte le misure di protezione dei dati delle persone con cui la tua azienda si trova ad operare previste dalla normativa.

Ecco alcuni esempi di quello che dovrai fare per evitare un data breach:

  • mantieni il tuo computer sempre aggiornato
  • proteggi tutti i dispositivi aziendali con antivirus adeguati ed aggiornati
  • utilizza un firewall
  • proteggi il computer ed i file con password sicure
  • utilizza solo software proveniente da fonti attendibili
  • evita l'utilizzo di reti WI-FI gratuite
  • utilizza la crittografia per cifrare i tuoi file
  • prevedi un piano di backup per evitare la perdita di dati

In caso di violazione di archivi contenenti dati personali (ma, anche, in caso di smarrimento o furto di una chiavetta, di un hard disk esterno o di un computer portatile) il titolare del trattamento deve notificare la suddetta violazione all’autorità di controllo competente (ossia: al Garante) entro 72 ore dal momento in cui ne è venuto a conoscenza.

La comunicazione deve essere fatta anche a tutti gli utenti/interessati cui i dati si riferiscono, a meno che sia improbabile che quella violazione dell’archivio rappresenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale comunicazione deve essere accompagnata dalle ragioni del ritardo nell’agire in tal senso.
cos'è il Data Breach ?

Il data breach consiste in una violazione dei dati che determina la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali.

E’ in definitiva un’anomalia (ad esempio un virus) che colpisce i dati dell’interessato, che fuoriescono da un archivio custodito e iniziano a circolare e a diventare pubblici.

Registro dei trattamenti

Le aziende con meno di 250 dipendenti non devono tenere un registro delle loro attività di trattamento, a meno che il trattamento dei dati personali non sia un’attività regolare o costituisca una minaccia per i diritti e le libertà individuali o riguardi dati sensibili o casellari giudiziari.

Responsabile della protezione dei dati

La tua azienda, indipendentemente dal fatto che sia titolare del trattamento o responsabile del trattamento, deve nominare un responsabile della protezione dei dati se le attività principali comportano il trattamento di dati sensibili su vasta scala o comportano un monitoraggio su vasta scala, regolare e sistematico delle persone.

Un responsabile della protezione dei dati è obbligatorio, ad esempio, quando la tua azienda è:

  • un ospedale che tratta grandi serie di dati sensibili;
  • una società di sicurezza incaricata di monitorare i centri commerciali e gli spazi pubblici;
  • una piccola società di head-hunting che profila le persone.

Responsabilità

Adeguarsi al GDPR non è una facoltà ma un obbligo. Il GDPR è una norma imperativa di natura comunitaria, assolutamente efficace e vincolante nei confronti di tutti i soggetti residenti in uno degli stati membri della UE.
Il mancato adeguamento ai dettami del GDPR può comportare sanzioni molto pesanti, con multe fino a 20 milioni di Euro o fino al 4% del fatturato dell'anno precedente (se da tale percentuale scaturisce una somma maggiore a 20 milioni).
L'autorità chiamata a garantire (e valutare) il rispetto del GDPR in Italia è il Garante della Privacy.

Che cosa sta facendo Evolution per il GDPR?

La sicurezza di Evolution, contro i data breach, dipende fortemente dal supporto dove si trova installato, per questo motivo Evolution fa una analisi del sistema operativo del computer, dell'antivirus e firewall utilizzato.

La sicurezza del sistema operativo non compete però ad Evolution, servono un ottimo antivirus con un firewall e vari accorgimenti per non infettare il proprio computer tramite mail o supporti infetti.

I controlli che Evolution eseguirà servono solo a facilitare il cliente nell'individuare i punti deboli della struttura informatica.

Evolution infine imposterà un piano di backup automatico per il salvataggio dei dati del gestionale su unità esterna.

ADEGUAMENTO EVOLUTION A GDPR

Nel webinar vengono fornite nozioni generiche per far comprendere in modo semplice e breve la complessità delle nuove regole.
Spiegheremo quindi:

  • COS'È IL GDPR
  • COSA FARÀ L'AGGIORNAMENTO DI EVOLUTION
  • QUALI DATI VERRANNO ANALIZZATI
    (antivirus, sistema operativo rispetto alla sicurezza).
  • DATI DEL GESTIONALE CRITTOGRAFATI