1. Home
  2. GDPR

 

dominonext ed il GDPR

Il G.D.P.R. è il nuovo regolamento che sostituisce il "Codice Privacy" e ri-definisce le figure di Titolare e Responsabile; il regolamento sarà operativo a partire dal 25 Maggio 2018 in tutti gli stati membri dell’Unione Europea.

Il G.D.P.R. impone alle aziende di trattare correttamente i dati personali (non più solo i dati senribili), indipendentemente che siano stati raccolti con strumenti informatici o cartacei.
Per dati personali si intende: nome, indirizzo, data di nascita, identificativi on-line (nickname), indirizzi mail personali od aziendali, numero di telefono, origine etnica, salute, credi religiosi, ecc.

Con l’entrata in vigore del nuovo regolamento il titolare avrà un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formale rispetto delle regole, ma anche all'adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la conformità effettiva dei trattamenti, anche sotto il profilo della sicurezza.

Non sarà infatti più sufficiente adottare minime misure di sicurezza, ma sarà necessario attrezzarsi per mettere in atto misure adeguate e dimostrabili. In caso di mancata osservanza delle regole, sono previste sanzioni che vanno dal 2% al 4% del fatturato (o per un importo da 10 a 20 Milioni di Euro).

Il regolamento, in alcuni casi, prevede la nomina di un DTO (Data Protector Officier), che può essere una figura interna od esterna all’azienda; il regolamento esclude categoricamente che il DTO possa essere il responsabile IT per evitare un conflitto di interessi. La nuova normativa riprende alcuni principi e concetti già fatti propri dal Codice in materia di tutela dei dati personali, introducendo una distinzione fondamentale tra:

PRIVACY BY DEFAULT: allude alla necessità di tutelare la vita privata dei cittadini di default; l’azienda tratta i dati personali esclusivamente nella misura necessaria e sufficiente per le finalità per cui sono stati raccolti, e per un periodo strettamente essenziale a tali fini.

PRIVACY BY DESIGN: si riferisce ad un principio di incorporazione della privacy in qualsiasi progetto aziendale (sia concettuale che strutturale), a partire fin dalla progettazione, per garantire la riservatezza e la protezione dei dati personali; questi concetti devono essere applicati ai sistemi IT, alle pratiche commerciali, alla progettazione strutturale ed alle infrastrutture di rete.

Il G.D.P.R. stabilisce i seguenti diritti del cliente:

  • accedere ai propri dati;
  • conoscere i fini di utilizzo dei propri dati;
  • chiedere che gli errori siano rettificati;
  • trasferire i propri dati ad altri fornitori (portabilità dei dati);
  • richiedere ed ottenere la cancellazione dei propri dati con la stessa facilità con cui hanno espresso il consenso al trattamento;
  • essere informati in caso di violazione dei dati;
  • avere una maggiore tutela;
Le aziende hanno l’obbligo di:
  • dimostrare di aver ricevuto il consenso esplicito per tutti i dati personali raccolti;
  • dimostrare di utilizzare i dati raccolti in modo trasparente ed appropriato;
  • proteggere i dati dei clienti da accessi non autorizzati;
  • attivare processi di data governance per ridurre gli errori, correggere le inesattezze, intervenire in caso di violazione dei dati;
  • spiegare chiaramente le politiche sulla privacy;
  • informare entro e non oltre 72 ore i clienti di qualsiasi perdita o furto dei dati, tenendo traccia dell’evento e delle attività messe in atto per gestirle;
  • assecondare tempestivamente la richiesta di cancellazione dei dati;
  • essere in grado di rintracciare i dati, sapere quali sono cancellabili e i tempi di cancellazione (tenendo conto degli eventuali obblighi di conservazione di legge);
Per rispettare la normativa le aziende dovranno:
  • Dotarsi di procedure in grado ti reperire tempestivamente i dati, ovunque essi si trovino (su supporti cartacei, magnetici, mail, cloud, gestionali, backup, gestionali dismessi, apparati dismessi, ecc);
  • Dotarsi di misure anti intrusione al fine delle protezione dei dati;
  • Identificare i dati personali degli utenti;
  • Redigere un protocollo per il trattamento dei dati di clienti, fornitori, dipendenti, ecc.;
  • Definire la policy e controllare l’accesso ai dati;
  • Redigere informative chiare ed esaustive da mettere a disposizione degli interessati;
  • Stabilire delle procedure pianificate per tutte le azioni che interessano i dati del cliente (data breach, le nomine degli incaricati, per le assunzioni o le dimissioni dei dipendenti, per la gestione della sicurezza della rete, la dismissione degli apparecchi informatici, conservazione delle copie, ecc) al fine di garantire il rispetto dei diritti degli interessati;
  • Dotarsi di un sistema di Risk analysis;
  • Analizzare il flusso dei dati;
  • Gestire gli “eventi”;
  • Dotarsi di un Registro Data Breach, che riporti gli eventi;
  • Valutare l’impatto sulla protezione dei dati (PIA - privacy impact assessment);
  • Audit Pianificati (evidenziando le attività di revisioni compiute);

Copyright © 2018 Domino.NEXT by Lev.On ITALIA S.r.l.