10 cose da sapere sulla GDPR

1. La differenza tra dati personali e sensibili

I dati personali sono le informazioni relative all'utente: un indirizzo e-mail, una foto profilo, il codice fiscale o un contatto telefonico, l'indirizzo IP di connessione, la targa automobilistica, ecc.
Nota bene: non sono considerati dati personali i dati riferibili alle persone giuridiche, ovvero le imprese, enti e associazioni.

2. Cosa cambia

La nuova normativa entrerà in vigore il prossimo 25 maggio 2018.
Le principali novità possono essere riassunte in questi punti:

1. obbligo di segnalazione in caso di data breach al Garante della Privacy;
2. aggiunta di data scadenza dei dati nelle informative e diritto allʼoblio;
3. maggior chiarezza nell’informativa su natura, utilizzo e trattamento dei dati;

3. Nuovi ruoli e figure

La nuova normativa impone di definire tutti i soggetti che entrano in contatto con i dati personali ed introduce delle nuove figure.

Resta il titolare del trattamento ovvero il soggetto (sia persona fisica che giuridica) che decide in totale autonomia le finalità e le modalità del trattamento come la raccolta, la registrazione, la comunicazione o la diffusione.

La prima novità è il ruolo di responsabile del trattamento, che non necessariamente è presente, ma se viene nominato lo si fa con un atto scritto dal titolare del trattamento. Il suo principale compito è di vigilare sull'osservanza delle regole decise nell’azienda in materia di dati personali.

C’è poi il DPO (meglio noto come Data Protection Officer) che ha la responsabilità di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda.
La sua nomina è obbligatoria nel caso di:
a) autorità o enti pubblici
b) attività che monitorano regolarmente e sistematicamente dati su larga scala
c) attività che acquisiscono dati sensibili

Si prevede inoltre che il datore di lavoro debba obbligatoriamente designare gli incaricati del trattamento ovvero soggetti interni all’azienda che entrano in contatto con dati personali e dovranno essere opportunamente formati ed aggiornati sulle procedure in vigore.

Esiste infine la possibilità di nominare un responsabile esterno del trattamento.
Questo avviene nel caso in cui un’impresa debba far svolgere parte delle attività ed il conseguente trattamento dei dati a soggetti esterni ad esempio quando si utilizzano servizi informatici in outsourcing o quando ci si avvale dei servizi offerti da un call center o da un altro tipo di fornitori.

4. Primi passi: to do list per la nuova normativa

In tutta questa confusione ti sarai chiesto che cosa sia necessario fare.
Ogni azienda, in base alla propria attività, alla natura dei dati dei quali viene in possesso ha obblighi differenti.
Esiste però una comune to-do-list che si compone di alcuni semplici passaggi:

compilare un privacy program ovvero: un semplice questionario volto ad individuare la natura delle informazioni con le quali entri in contatto e le misure di sicurezza che applichi definendo quindi le procedure che intendi adottare ora ed in futuro;
definire il titolare del trattamento, nominare un eventuale responsabile e il DPO (se necessario) o assegnare l’incarico formale al responsabile esterno del trattamento;
aggiornare l’informativa sulla privacy presente sul tuo sito e in azienda;
attivare un certificato SSL su sito web e sulla posta elettronica;
condividere la nuova informativa nella tua organizzazione aziendale, occupandoti della formazione del personale affinché metta in atto già da subito quanto deciso;
notificare la modifica dell’informativa a tutte le persone di cui detieni già i dati personali;
prevedere controlli periodici per verificare la conformità della raccolta, del trattamento, della protezione dei dati e della rimozione dei dati scaduti.

Tutte queste fasi dovranno essere verbalizzate e documentate perché costituiscono una prova di adeguamento alla normativa in caso di segnalazione al Garante.

5. Aggiornare l'informativa

Il punto centrale è che l’informativa deve essere chiara e completa.
Il Garante parla espressamente di tono colloquiale ovvero dovrai essere in grado di spiegare in modo semplice ed efficace:

a) scopi e modalità del trattamento;
b) l’eventuale obbligo a fornire i dati per usufruire di determinati servizi;
c) a chi potranno essere comunicati o diffusi i dati;
d) periodo di conservazione;
e) diritti dell'interessato compreso il diritto di modifica, revoca, cancellazione e reclamo;
f) modalità di trasferimento dei dati ad un Paese Terzo;
g) politica in materia di dati personali di minori;
h) identificazione e contatti del titolare, responsabile (se presente) e DPO (se presente);

6. Il consenso

Affinché il trattamento dei dati si consideri legittimo, deve essere richiesto un consenso "informato" all'interessato per l'utilizzo dei dati differenziando il consenso tra dati necessari e aggiuntivi.
Ad esempio l'utilizzo dei dati personali per finalità di marketing non può essere reso obbligatorio.

Ci sono però dei casi in cui il consenso non è richiesto ovvero:

a) quando il trattamento è previsto da un obbligo di legge, da un regolamento o dalla normativa comunitaria.
b) quando si tratta di dati necessari per l'esecuzione di un contratto già in essere, ad esempio dati per la fatturazione di un prodotto o servizio.
c) nel caso di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Le aziende sono inoltre sollevate dall'obbligo di consenso per attività promozionali e di marketing rivolte ai propri clienti come per esempio per comunicazioni promozionali che riguardino prodotti e servizi già acquistati o prodotti analoghi.

I dati sensibili necessitano di livello più alto di tutela.
Per poterli utilizzare, l'impresa deve quindi prima ottenere il consenso scritto della persona e l'autorizzazione del Garante.

Anche nel processo di selezione del personale esiste un'attività di trattamento di dati personali dei candidati. L'azienda che riceve i curriculum inviati spontaneamente non ha l'obbligo di offrire l'informativa o di chiedere il consenso. Solo nel momento in cui l'azienda prenderà in considerazione il curriculum e deciderà di contattare il candidato, dovrà fornire (anche a voce) un’informativa breve.
Se invece è l'azienda ad avviare una selezione, è necessario che prima di acquisire il cv sia disponibile l'informativa sul trattamento dei dati e sia espressamente accettata nel caso che il curriculum contenga dati sensibili (ad esempio l'appartenenza ad una categoria protetta) o la candidatura sia condivisa con terzi.

7. Tutela dei dati

L'azienda dovrà mettere in atto quante più misure possibili di sicurezza per ridurre al minimo i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta anche accidentale.

Se i dati sono conservati in formato cartaceo potrebbe essere sufficiente prevedere una chiusura con serratura all'armadio o alla stanza.
Se invece sono in formato digitale le misure devono essere adeguate al rischio.

Le misure minime di sicurezza previste sono:

a) verificare l'identità di chi accede al sistema (ad esempio con username e password);
b) adottare strumenti che impediscano accessi illeciti o abusivi (come per esempio antivirus, firewall);
c) predisporre copie di backup per ripristinare eventuali dati sottratti o corrotti nel più breve tempo possibile;
d) prevedere che i dati sensibili vengano criptati;
e) formare il personale addetto al trattamento dei dati;

Ti consigliamo di prevedere sistemi di log e tracciabilità degli accessi per individuare eventuali autori di tali violazioni.

8. Trasferimento dei dati all'estero

La normativa comunitaria prevede che i dati personali possono circolare liberamente entro l'Unione europea.
Per trasferire dati al di fuori dell'Unione europea devono invece essere garantiti standard di protezione adeguati a quelli europei.
Sul sito del Garante sarà disponibile l'elenco di Paesi terzi giudicati affidabili con i quali non sarà necessaria alcuna misura in caso di esportazione dei dati.

9. Diritti dell'interessato e durata

La normativa introduce gli specifici diritti per ogni utente di cui si detengono i dati personali. Ciascuno potrà richiedere di conoscere quali siano i dati in possesso dell'impresa, per quale motivo siano stati raccolti e come siano elaborati.

Inoltre la nuova normativa introduce per la prima volta il concetto di scadenza o diritto all’oblio.
L’idea di base è che un dato personale debba essere conservato solo per un tempo considerato ragionevole.
Significa quindi che, nel momento in cui le informazioni personali non saranno più necessarie per lo scopo per il quale sono state raccolte, dovranno essere rimosse o rese anonime.

10. Distruzione, perdita, violazione

La nuova normativa stabilisce l'obbligo di avviso al Garante per qualsiasi violazione (meglio nota come data breach) e, nei casi più gravi, comprende anche una comunicazione agli interessati del problema riscontrato, per consentire loro di adottare misure che limitino i possibili pregiudizi alla persona (ad esempio, furto di identità o il danno alla reputazione).

L’azienda potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato oppure se dimostrerà di avere già adottato misure di sicurezza; oppure nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica.

Possono essere comminate dal Garante le seguenti sanzioni:

* un'ammonizione scritta in casi di una prima mancata osservanza non intenzionale.
* accertamenti regolari e periodici sulla protezione dei dati
* una multa fino a 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente nei casi previsti dall'Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d'affari nei casi previsti dai Paragrafi 5 e 6.

Le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari.

La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza.  Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Vuoi maggiori informazioni su questo tema o vuoi scroprire come proteggiamo i tuoi dati?

contattaci

Ti potrebbero interessare anche...

ragazzo controlla su mobile il suo sito web

14 settembre 2023

Cookie	Durata	Descrizione
Cookie di sessione	11 months	Si tratta di un cookie tecnico che utilizziamo per permetterti di effettuare il login e mantenere in memoria il tuo carrello durante le fasi di acquisto. Sono dati temporanei che vengono eliminati in fase di logout o di completamento dell'ordine. Sono necessari per poter utilizzare il nostro shop e per accedere alla community.
Cookie per la sicurezza	1 hour	Utilizziamo un estensione per proteggere il nostro sito web da attacchi malware, spambot e di altro genere. Questi cookies sono necessari anche per preservare i tuoi dati personali e le informazioni degli ordini da qualsiasi diffusione.
Preferenze lingua	30 minutes	Grazie a questo cookie verrai reindirizzato alla stessa lingua nel quale è settato il tuo browser. In questo modo visualizzerai già i contenuti corretti senza bisogno del traduttore!
Sessione carrello	30 minutes	Si tratta di un cookies di sessione utilizzato per tracciare gli articoli nel carrello. Sono utilizzati tre diversi cookies WooCommerce. Contengono informazioni sull’intero carrello ed aiutano WooCommerce a sapere quando le informazioni nel carrello cambiano. Nessuna informazione di carattere personale è memorizzata in questi cookies.
Cloudflare	from 30 seconds to 24 hours	Cloudflare utilizza vari cookie per massimizzare le risorse di rete, gestire il traffico e proteggere i siti dei nostri clienti da traffico dannoso.
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
Google Fonts	session	L'API Google Fonts è progettata per limitare la raccolta, l'archiviazione e l'utilizzo dei dati degli utenti finali solo a quelli necessari per pubblicare i caratteri in modo efficiente. Quando gli utenti finali visitano un sito web che incorpora Google Fonts, i loro browser inviano richieste HTTP all'API web di Google Fonts. Tali richieste HTTP includono (1) l'indirizzo IP utilizzato dal rispettivo utente per accedere a Internet, (2) l'URL richiesto sul server Google e (3) le intestazioni HTTP, incluso lo user agent che descrive il browser Internet dei visitatori del sito web e le versioni del sistema operativo, nonché il referer (ovvero la pagina web su cui deve essere visualizzato il carattere Google). Gli indirizzi IP non vengono registrati né archiviati sui server di Google e non vengono analizzati per scopi specifici. L'API web di Google Fonts registra i dettagli delle richieste HTTP (URL richiesto, user agent e referrer). L'accesso a questi dati è limitato e strettamente controllato. L'URL richiesto identifica l'insieme di famiglie di caratteri per cui l'utente vuole caricare i caratteri. Questi dati vengono registrati per consentirci di determinare la frequenza con cui vengono richieste determinate famiglie di caratteri. L'API web dei caratteri Google richiede allo user agent di personalizzare il carattere generato per il tipo di browser web utilizzato. Lo user agent viene registrato principalmente per il debug e viene utilizzato per generare statistiche sull'utilizzo aggregate per misurare la popolarità delle famiglie di caratteri.
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
Social share		Questo tipo di servizio permette di effettuare interazioni con i social network, o con altre piattaforme esterne, direttamente dalle pagine del nostro sito. Le interazioni e le informazioni acquisite, sono in ogni caso soggette alle impostazioni privacy dell’Utente relative ad ogni social network. L'interazione potrebbe raccogliere dati sul traffico per le pagine dove il servizio è installato, anche quando gli Utenti non lo utilizzano. Si raccomanda di disconnettersi dai rispettivi servizi per assicurarsi che i dati elaborati su questo sito non vengano ricollegati al profilo dell'Utente.
Vimeo & YouTube Video		Nel nostro sito sono inseriti alcuni video dalle piattaforme Vimeo e YouTube. Maggiori informazioni sull'utilizzo dei cookies da parte di questi servizi sono disponibili a questo link: - policy Vimeo - policy di Google

Cookie	Durata	Descrizione
Preferenze lingua	30 minutes	Grazie a questo cookie verrai reindirizzato alla stessa lingua nel quale è settato il tuo browser. In questo modo visualizzerai già i contenuti corretti senza bisogno del traduttore!
Google Recaptcha		Questo cookies viene utilizzato per impedire la compilazione dei form da parte di spambot o di script automatizzati. Attraverso una casella di verifica, ci permette di assicurarci prima dell'invio che la funzionalità sia in uso da parte di una persona e non appunto di un bot.
Wordpress Cache plugin	1 month	Questo cookie viene utilizzato per scopi di memorizzazione nella cache locale per migliorare il tempo di caricamento del sito web.

10 cose da sapere sulla GDPR

1. La differenza tra dati personali e sensibili

2. Cosa cambia

3. Nuovi ruoli e figure

4. Primi passi: to do list per la nuova normativa

5. Aggiornare l'informativa

6. Il consenso

7. Tutela dei dati

8. Trasferimento dei dati all'estero

9. Diritti dell'interessato e durata

10. Distruzione, perdita, violazione

Ti potrebbero interessare anche...

Come creare un sito-web mobile friendly

Passare dall’ispirazione all’acquisto con Pinterest Shop

Digital News Agosto

Agenzia

Informazioni

Esplora

Scegli la lingua