Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa entrerà pienamente in vigore in tutti i Paesi dell’Unione Europea il prossimo 25 maggio 2018…
Come faccio a sapere a quale attività si applica il GDPR?
Se si è un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, si è tenuti ad adeguarsi al GDPR. Il GDPR si applica anche a imprese ed enti che hanno sede al di fuori dell’Unione Europea, ad esempio se vendono beni o servizi, anche via internet, all’interno dell’Unione Europea.
Ma che cos’è un dato personale?
In pratica, un dato personale è qualunque informazione riconducibile ad un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari.
Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.
Quali sono le responsabilità come azienda o studio e cosa si rischia ?
Ai sensi del GDPR, si dovranno adottare tutte le misure di protezione dei dati previste dalla normativa. Ecco alcuni esempi di quello che si dovrà fare per adeguarsii al GDPR:
- informare in modo chiaro, semplice e non “legalese” i propri clienti, dipendenti e gli altri interessati di come si trattano i loro dati: bisogna dire chi si è quando si richiedono i dati, perché si stanno trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
- chiedere in modo esplicito il consenso delle persone di cui si raccolgono i dati; in caso di minori, verificare il limite di età per chiedere il consenso dei genitori;
- assicurarsi di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un’altra azienda (i.e. portabilità);
- in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – si dovrà darne comunicazione entro 72 ore all’Autorità di controllo;
- nel caso in cui si intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, ci si dovrà assicurare di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati.
Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20 milioni di Euro o – nel caso di imprese – fino al 4% del fatturato globale dell’esercizio precedente, se superiore.
Cosa bisogna fare per adeguarsi e da dove cominciare?
La nuova normativa richiede di adottare una serie di misure per proteggere in modo adeguato i dati delle persone con cui l’azienda o lo studio si trova ad operare, ad esempio i dati dei dipendenti e dei clienti.
La prima cosa da fare, quindi, è prendere consapevolezza:
- Informarsi (ad esempio qui http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali, http://ec.europa.eu/justice/smedataprotect/index_it.htm e qui https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_it ) e valutare quali tra le novità introdotte dal nuovo Regolamento sono applicabili alla propria attività.
- attivarsi per capire quali dati tratta la propria azienda o il proprio studio, a chi appartengono, per quali finalità vengono utilizzati, a quali rischi sono esposti e a chi vengono comunicati;
- documentare i trattamenti di dati che sono stati individuati: il GDPR richiede di tenere (anche in formato elettronico) un Registro aggiornato dei dati personali che si gestisce. Il Registro dei trattamenti potrebbe non essere necessario in alcuni casi specifici. Tuttavia, anche in questi casi è raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte dell’Autorità di controllo, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti svolti ed è uno strumento indispensabile per ogni valutazione e analisi del rischio.
Cosa si intende per “trattamento” di dati personali? Quali trattamenti esegue tipicamente un’azienda o uno studio professionale?
Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.
I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali.
Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di studi professionali e aziende:
- anagrafiche clienti
- anagrafiche dipendenti
- dati biometrici dei dipendenti
- anagrafiche fornitori
- videosorveglianza
- campagne commerciali e di marketing
- gestione di un sito web
Che cosa sta facendo CRONOTIME per il GDPR?
CRONOTIME ha avviato da tempo un progetto di adeguamento al GDPR con i propri fornitori per migliorare le caratteristiche di sicurezza dei prodotti e servizi ed elevare il livello di protezione dei dati personali.
- Stiamo aggiornando i nostri sistemi allo scopo di introdurre funzionalità specifiche per aiutare i clienti a soddisfare i requisiti dicompliance previsti dal GDPR, secondo le logiche della privacy by design e privacy by default richieste dal GDPR
- Stiamo rafforzando le misure di sicurezza nei servizi erogati ai clienti allo scopo di ridurre i rischi di trattamenti non conformi, introducendo il principio della protezione dei dati personali attraverso partner qualificati
- Abbiamo sviluppato sistemi di protezione dei dati sensibili attraverso l’installazione di bacheche elettroniche, controllo accessi, video sorveglianza per garantire che i dati conservati nell’azienda o nello studio siano messi al sicuro.
Per maggiori informazioni
Chiami al 080 56 19 587 Area Commerciale
O invii una mail indicando i Suoi dati all’indirizzo marketing@cronotime.it