Regolamento Generale per la protezione dei dati personali
GDPR.
Che cos’è il GDPR?
Il GDPR o General Data Protection Regulation (Regolamento Generale per la protezione dei dati personali) è un regolamento europeo (n°679 del 2016) che si occupa di protezione dei dati delle persone fisiche.
Insieme al tuo team tecnico analizziamo la tua infrastruttura, sito internet compreso
Cosa devi fare per adeguarti al GDPR
Il nuovo regolamento, entrato in vigore il 24 maggio 2016, ha abrogato la direttiva madre (direttiva 46 del 1995) ed ha iniziato ad avere la sua piena applicabilità a partire dal 25 maggio 2018.
Cosa importante, il GDPR coinvolge tutte le aziende che trattano dati personali di soggetti risiedenti nell’Unione Europea (indipendentemente dalla loro localizzazione geografica).
Se non hai fatto ancora nulla per adeguarti al GDPR, ti consigliamo di prenderti del tempo per rivedere lo stato dell’arte della tua infrastruttura IT.
Ti segnaleremo cosa è migliorabile e il modo per implementare i miglioramenti individuati.
7 step da seguire per la compliance GDPR
I passaggi fondamentali per adeguarsi al GDPR
Fase 1.
Valutazione della compliance
L’azienda dovrà raccogliere tutte le informazioni che la riguardano, partendo da quelle relative a quanto posto in essere sino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte.
Fase 2.
Creazione del registro dei trattamenti
Documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza.
Fase 3.
Valutazione dei rischi e politiche di sicurezza
Valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD.
Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability).
Fase 4.
Stesura/Modifica della documentazione
Realizzazione della documentazione e individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento, affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa
Fase 5.
Processo di Data Breach
Al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita.
Fase 6.
Valutazione d’impatto sulla protezione dei dati personali
Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.
Fase 7.
Individuazione e nomina di un Data Protection Officer (DPO)
Figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Affidati a Gmg Net per l'adeguamento al GDPR
Facciamo chiarezza!Domande e risposte sul GDPR
Perché adeguarsi subito al GDPR?
È un regolamento europeo e quindi, a differenza delle direttive non necessita di alcuna azione
di recepimento da parte del Parlamento nazionale. Tanto per fare un esempio: nel caso il tuo server venga attaccato e tu venga derubato dei dati sensibili riguardanti tuoi clienti e questi vengano resi pubblici, qualunque giudice, a partire dal 25 maggio 2018, può condannarti, sulla base di questo regolamento europeo, a risarcire qualunque tipo di danno economico tu abbia arrecato ai tuoi clienti attraverso la “non protezione adeguata” delle informazioni che ti hanno dato. A meno che tu non dimostri di aver messo in atto alcune misure “adeguate” di protezione dei suddetti dati. In linea di massima, solo chi non fa proprio nulla è pesantemente attaccabile. Sulle “adeguate” ci si può difendere. Questa volta l’Europa è convinta che quella della protezione dei dati dei suoi cittadini sia cosa vitale e quindi è stata piuttosto “cattiva” con le sanzioni: da 20 milioni di euro e – nel caso di imprese – al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Inutile dettagliare i vari casi, il succo è che l’Europa vuole far capire che qua non si scherza e con queste sanzioni lo ha sancito in modo più che chiaro.
Chi è responsabile in azienda di eventuali “mancanze” rispetto a questo regolamento?
Il titolare del trattamento dei dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (contitolari del trattamento dei dati), determina le finalità e i mezzi del trattamento di dati personali (cliente, fornitore, passante) di almeno un cittadino europeo per conto del titolare del trattamento.
Il responsabile del trattamento dei dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali (cliente, fornitore, passante) di almeno un cittadino europeo per conto del titolare del trattamento. La responsabilità del trattamento dei dati non può essere data a figure che non presentino garanzie su clienti a mettere in atto tutte le misure tecniche e organizzative adeguate a tutelare i diritti dell’interessato.
Cosa devo fare per evitare di trovarmi (da titolare o responsabile del trattamento) a rispondere di eventuali danni cagionati dal trattamento?
Basta che tu adempia agli obblighi del suddetto regolamento e che sia in grado in ogni momento di dimostrarlo.
Obiettivo primario, dimostrare la compliance: è il principio di accountability. Ogni scelta presa a supporto della dimostrabilità di avere adempiuto agli obblighi imposti deve essere documentata per scritto.
Quindi in caso di danni da cattiva protezione dei dati personali, chi paga?
Il titolare e il responsabile del trattamento dei dati sono responsabili in solido (cioè con il proprio patrimonio personale) per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato (salvo che non si riesca a dimostrare che l’evento dannoso non gli è in alcun modo imputabile). Quindi non c’è SRL, SPA o SAPA che tenga. Niente autonomia patrimoniale perfetta in questo caso. Si è responsabili in solido di qualunque danno arrecato alla figura (cliente, fornitore o passante… europeo) di cui non abbiamo saputo proteggere i dati.
Attenzione, che potrebbe piovere sul bagnato. Nel caso in cui un giudice ti condanni a risarcire dei danni, possono poi scattare da parte delle amministrazioni di controllo e di conseguenza le tanto temute e terribili sanzioni suddette (20 milioni / 4% del fatturato).
Quali sono in linea generale i principi su cui mi devo basare per il trattamento e la conseguente protezione dei dati?
a] Il trattamento dei dati deve essere corretto, lecito e trasparente.
b] I dati devono essere raccolti per scopi determinati, legittimi ed espliciti, e trattati in modo non incompatibile con tali scopi. Non è quindi possibile detenere dati se non c’è giusti cabile motivo.
c] I dati devono essere ridotti al minimo e quindi pertinenti e limitati a quanto necessario.
d] dati devono essere esatti, aggiornati e tempestivamente cancellati quando non più necessari.
e] È necessario garantire adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, dalla perdita, dal danno o dalla pubblicazione accidentale nonché da trattamenti illeciti o non autorizzati.
Il titolare del trattamento (o chi da lui delegato) deve possedere ed essere in grado di dimostrare tutte le competenze necessarie a garantire il rispetto dei principi appena elencati. Mai come in questo caso la legge non ammette ignoranza. Forse è giunto il momento di a dare i server a chi fa questo per mestiere piuttosto che tenerli in casa.
Cosa sono tenuto a fare per poter dimostrare di aver adempiuto?
Il regolamento non fornisce una linea guida dettagliata delle misure da mettere in campo in quanto, come ben sa chi opera nel settore del trattamento – ormai elettronico – dei dati, non esiste ad oggi una ricetta perfetta capace di scongiurare attacchi esterni da parte di hacker o danni da errori accidentali.
La cosa più importante è poter dimostrare attraverso una serie di azioni che ci si è presi cura del problema nel “migliore” dei modi possibile, compatibilmente al contesto.
Affidati a noi
Hai un'idea ma non sai come realizzarla?
Siamo un team di creativi, developer, marketers, appassionati di UX Design ed esperti di Cyber Security pronti a dare corpo alle tue idee più ambiziose.