16 MAG '18

Nuovo Regolamento per la protezione dei dati

PRINCIPI GENERALI

GDPR, tutto ciò che c’è da sapere per essere in regola

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa:

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati;
  2. L’istituzione del Registro delle attività di trattamento;
  3. La notifica dei data breach.

E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione

Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue.

Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

  • Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;
  • Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza;
  • L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO)incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Tratto da www.agendadigitale.eu

 

GDPR ed ePrivacy: le conseguenze per te e per il tuo sito web.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) e il regolamento ePrivacy (ePR) entrano in vigore il 25 maggio 2018. Questi due nuovi regolamenti dell'UE mirano a proteggere meglio i dati personali e la privacy delle persone dell'UE. Si applicano a tutti i siti web con utenti residenti in uno dei paesi membri dell'UE.

In base ai nuovi regolamenti, i dati personali sono tutte le informazioni che possono essere utilizzate per identificare un individuo. Online queste includono anche informazioni generate da cookie e altri tracker (incluse le informazioni generate da servizi di terze parti "embedded" come Google o Facebook), nonché l'indirizzo IP del computer. I proprietari di siti web sono tenuti a fornire lo stesso livello di protezione per queste informazioni che deve essere fornito a dati come nome, indirizzo, coordinate bancarie. Anche se anonimizzate, queste informazioni sono ancora classificate come dati personali se l'individuo può essere identificato attraverso metodi di "reverse engineering".

 

 

Quali sono gli obblighi per i proprietari di siti web?

Come proprietario di un sito web devi:

  • essere pienamente a conoscenza di tutte le tecnologie di tracciamento sul/sui sito/i web e il loro scopo;
  • ottenere il consenso dell'utente prima che avvenga qualsiasi elaborazione di dati;
  • registrare la prova del consenso;
  • assicurare che il tuo sito offra la possibilità di revocare il consenso;
  • sapere quali dati il tuo sito web condivide con terze parti e dove, a livello globale, i dati vengono inviati.

 

DPIA : Data Protection Impact Assessment - valutazione dell'impatto della protezione dei dati

Il DPIA  è una valutazione formale richiesta dal GDPR per ridurre al minimo i rischi per la privacy e i dati personali delle persone. Ai sensi del GDPR, è necessario eseguire un DPIA prima di iniziare qualsiasi attività relativa al trattamento dei dati personali in cui i diritti alla privacy possono essere a rischio. Il DPIA deve includere il seguente tipo di informazioni (l'elenco non è esaustivo):

  • una descrizione dell'attività pianificata / la fonte di rischio;
  • il tipo di informazioni da elaborare;
  • come e perché i dati devono essere elaborati;
  • una valutazione della necessità dell'attività pianificata;
  • la natura del rischio/i;
  • la gravità del/i rischio/i;
  • con chi le informazioni sarebbero condivise e in quale parte del mondo sarebbero inviate;
  • come vengono protetti i dati durante la trasmissione e l'archiviazione;
  • salvaguardie e meccanismi da attuare per mitigare i rischi.

 

COME ADEGUARSI NEL WEB: FAI UN INVENTARIO

Il primo passo consiste nel fare un inventario dei dati che tratti, delle finalità e modalità del trattamento.

Comincia mappando le informazioni che riguardano la raccolta e la conservazione dei dati:

  • Rintraccia tutte le fonti dei dati: i moduli di contatto o per l’iscrizione alla newsletter, le piattaforme di analytics, il modulo che raccoglie dati per la fatturazione del tuo e-commerce, ecc.
  • Non dimenticare i cookies: dovresti avere già queste informazioni se hai rispettato la cosiddetta cookie law.
  • Individua i dati veramente necessari: nel modulo di iscrizione alla newsletter, hai bisogno di chiedere nome e cognome o ti basta l’indirizzo email? Hai proprio bisogno del pixel di Facebook? Ricordati: il principio della privacy by default prevede che non vengano raccolti dati non strettamente necessari.
  • Descrivi il percorso dei dati: su quali piattaforme transitano prima di essere archiviati? Usi servizi di terze parti? Ad esempio le piattaforma per la gestione di email o newsletter sono servizi terzi e i dati sono archiviati anche solo momentaneamente sui loro server.
  • Fai quindi un elenco di tutti i dispositivi o piattaforme sui quali sono salvati i dati: li archivi sul tuo computer o sul cloud? Ne fai un backup su un hard disk esterno? Ne stampi una lista cartacea?

 

DEFINISCI

Ora che hai fatto chiarezza sui dati se necessario puoi definire le nuove finalità e modalità del trattamento:

  • Per quale scopo raccogli i dati? Per inviare una newsletter? Oppure per fornire informazioni su richiesta – ad esempio con il form di contatto?
  • I dati vengono utilizzati per profilare i clienti? Fai attenzione a questo passaggio, perché la profilazione è definita in modo molto particolare nel GDPR
  • I dati sono anonimizzati o usati in modo da ricondurre all’effettiva identità delle persone?
  • Stabilisci per quanto tempo vuoi/devi conservare le varie tipologie di dati: fino alla richiesta della cancellazione – ad esempio nel caso delle newsletter? Oppure per un periodo determinato – ad esempio solo fino alla fornitura di un servizio?
  • Procurati la relativa l’informativa sulla protezione dei dati dei fornitori di servizi. Le maggiori piattaforme hanno già provveduto da tempo, ad esempio Google ha una pagina dedicata alla conformità dei suoi prodotti cloud rispetto al GDPR così come Facebook [aggiornamento del 26/4/2018]. Ricorda che il titolare del trattamento ha l’obbligo di selezionare i fornitori in base anche alla conformità rispetto alle linee guida del GDPR.
  • I dati sono conservati in un paese europeo o al di fuori dell’Unione? Nel caso di piattaforme internazionali, non è sempre chiaro dove risiedano i server. Attenzione però: puoi conservare i dati in un paese extra UE, ma se questo non ha accordi relativi alla protezione dei dati personali dovrai chiedere una specifica autorizzazione al Garante.

VALUTA I RISCHI

Ora che hai completato il tuo assessment dovresti essere in grado di valutare i punti deboli delle tue procedure e prendere le giuste precauzioni. Il GDPR infatti prevede la responsabilizzazione di titolari e responsabili attraverso un approccio basato sul rischio.

In sintesi chi gestisce dati personali ha l’onere di dimostrare di aver:

  • valutato tutti i rischi relativi alla protezione dei dati stessi
  • definito le criticità
  • aver predisposto tutte le misure necessarie per minimizzare i rischi e ridurre le criticità

La valutazione d’impatto non è obbligatoria per tutti, e sul sito del Garante è disponibile un’infografica che illustra la questione.

 

FAI I CAMBIAMENTI NECESSARI

Ora analizza tutti i punti che hai elencato, confrontali con i requisiti del GDPR e fai le necessarie modifiche. La normativa italiana ancora non è stata armonizzata rispetto al regolamento, ma esiste già un documento in PDF pubblicato dal Garante della Privacy che fa chiarezza su quasi tutti i punti semplificando molti passaggi.

  • Rivedi la tua procedura: semplifica il tutto eliminando la richiesta di informazioni non necessarie.
  • Controlla i moduli d’iscrizione o per l’invio di informazioni: tutti devono registrare l’espressione del consenso in modo conforme al GDPR.
  • Per le iscrizioni alle newsletter: assicurati che sia ben chiaro il meccanismo di cancellazione/modifica dei dati e se possibile preferisci procedure con verifica dell’opt-in o addirittura di double opt-in.
  • Predisponi i registri per le espressioni di consenso e assicurati che siano conformi al Regolamento.
  • Se sei un’azienda distribuisci compiti e responsabilità tra tutti i dipendenti e/o le funzioni aziendali coinvolte.
  • Nomina un DPO (Data Privacy Officer) ovvero un responsabile del trattamento dei dati.
  • Modifica o sostituisci strumentitecnologie oppure cambia fornitori nel caso in cui questi non siano conformi rispetto alle linee guida del GDPR.
  • Se necessario, acquisisci le necessarie certificazioni.
  • Riscrivi l’informativa sulla privacy: ricorda che deve contenere tutti i dati obbligatori – molti dei quali li hai già pronti nel tuo inventario
  • Se necessario informa gli interessati di cambiamenti sostanziali nella tua informativa e eventualmente richiedi il consenso nuovamente. Basta ad esempio notificare i cambiamenti e chiedere nuovamente il consenso nella tua prossima newsletter.

 

MONITORA, VERIFICA, INTERVIENI

Raggiungere la conformità rispetto agli standard del GDPR non è sufficiente. Tecnologie e procedure possono cambiare nel tempo, inoltre nonostante le misure adottate le violazioni dei dati sono sempre possibili.

Per questo occorre controllare periodicamente che tutto funzioni correttamente:

  • Tieni sotto controllo i cambiamenti di privacy policy dei tuoi fornitori di servizi, in particolare delle piattaforme cloud, dei gestionali e quelle che gestiscono mailing list e indirizzari.
  • Controlla che i tuoi archivi digitali o analogici siano ben protetti: se utilizzi firewall o strumenti per la crittografia, controlla che siano sempre aggiornati.
  • Controlla eventuali aggiornamenti sul sito del Garante della Privacy

Tratto da www.ittrust.eu

 

 

LINK UTILI

http://www.garanteprivacy.it/web/guest/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali

GDPR