GDPR: cos’è, cosa devi fare e 5 consigli pratici

nuovi clienti Lead Ads
Come trovare nuovi potenziali clienti con Facebook
febbraio 2, 2018
gestionale cloud
I 7 (+1) vantaggi di un gestionale cloud
febbraio 2, 2018
gdpr regolamento europeo dati

Come ogni aggiornamento legislativo, anche l’introduzione del GDPR porta con sé dubbi, incertezze e la solita corsa dell’ultimo minuto verso l’adeguamento. L’obiettivo di questo articolo è quello di spiegare, con un linguaggio semplice, cos’è il Regolamento Europeo per la Protezione dei Dati e cosa comporta per le aziende; in questo modo puoi valutare con il giusto tempismo le azioni da fare per adeguare la tua azienda, evitando di agire all’ultimo con il rischio di fare le cose nel modo sbagliato.

(Leggi fino in fondo perchè abbiamo creato un breve questionario che ti aiuta a valutare la tua situazione di partenza)

 

GDPR: cos’è e a chi si applica

Il General Data Protection Regulation (GDPR), è un regolamento Europeo che entrerà in vigore a Maggio e, in teoria, dovrebbe rendere obsoleta la legge 196/2003 o anche conosciuta come legge sulla Privacy.

Il GDPR si applica a tutte le aziende, enti, liberi professionisti che raccolgono e trattano i dati personali dei cittadini UE, a prescindere dall’ubicazione geografica.
Per capire a pieno tutti i contenuti normativi del GDPR è importante comprendere a cosa si riferisce quando parla di “dati personali”:

I Dati personali sono “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. A norma del Regolamento, ciò include anche gli identificativi online, come gli indirizzi IP e i cookie.

Fatta chiarezza su cosa si intende, all’interno del GDPR, con “dati personali” possiamo addentrarci nelle normative e nelle applicazioni aziendali che queste comportano.

 

GDPR e legge 196/2003: come comportarsi

Come abbiamo visto, il GDPR andrà a sostituire la legge 196/2003 e questo comporta delle modifiche organizzative in azienda. Quello che è necessario mettere a fuoco, per qualsiasi azienda, è quali modifiche deve apportare rispetto a quanto sta già facendo? Per capirlo è necessario fare dei distinguo perché, come vedrai, non tutto il GDPR “viene per nuocere”.

Se, infatti, rispetti già l’attuale legge 196/2003 in tutti i suoi aspetti sei a buon punto nel lavoro da fare per adeguarsi al GDPR. Se, invece, sei tra quelli che non rispettano pienamente la cosiddetta legge sulla privacy allora, probabilmente, sei già in ritardo per attuare le necessarie misure di adeguamento aziendale al GDPR.

Intendiamoci, al di là di possibili sanzioni in caso di controlli che accertino la tua non conformità al Regolamento Europeo per la Protezione dei Dati, l’aspetto a cui devi fare attenzione è che se non sei attrezzato per la tutela della privacy (e dei dati) rischi di essere vittima di eventi che mettono a rischio l’operatività aziendale o ti impediscano completamente di lavorare (se non l’hai afferrato mi riferisco ai vari crytpolocker e cyber attacchi in generale).

Per questo invito sia chi è a buon punto per adeguarsi al GDPR, che chi non lo è a proseguire nella lettura perché vedremo insieme quali sono gli elementi di novità rispetto alle vecchie normative in modo da capire come organizzarsi nel modo più corretto.

 

GDPR: gli elementi di novità

Ho analizzato con attenzione tutta la documentazione del GDPR e sono arrivato a produrre questo concentrato delle novità che devi avere presenti per capire a che punto sei e come muoverti con la tua azienda. Ho sintetizzato le novità in 9 punti cosicchè tu possa verificare in modo rapido e schematico cosa ti manca per completare l’adeguamento.

  1. Il ruolo del titolare dell’azienda: Il ruolo attivo e proattivo dell’azienda nella figura del titolare che dovrà adottare e dimostrare di aver adottato politiche adeguate e conformi al regolamento in merito alla protezione dei dati.
  2. Confini di applicazione del diritto UE: Si introduce il principio dell’applicazione del diritto della UE anche ai trattamenti svolti al di fuori della UE, se relativi a beni e/o servizi offerti nella UE o relativi al monitoraggio di cittadini all’interno della UE. (Se hai un ufficio a Tirana e vendi prodotti a soggetti interessati che stanno in Italia, allora anche se l’ufficio è a Tirana i dati dovranno essere trattati e protetti come dice il GDPR).
  3. Privacy by design e Privacy by default: il GDPR introduce i concetti di “privacy by design” e di “privacy by default”. Il primo sta a indicare che prima di raccogliere e trattare i dati devi mettere in pista un processo che, dall’inizio alla fine, pensi alla protezione dei dati e alla tutela del diritto alla riservatezza delle persone fisiche; il secondo sta a indicare un modus operandi che preveda la “chiusura” dei sistemi informatici di trattamento dei dati e solo dopo aver valutato i rischi si può provvedere a una graduale “apertura”. (esempi: per un nuovo assunto creo un profilo limitato all’interno del gestionale, mantengo una chiusura totale del firewall).
  4. DPO (Data Protection Officer): il GDPR prevede l’istituzione di una figura “indipendente” responsabile del “governo dei dati” e della “privacy”. Obbligatorio per un’autorità pubblica, per un ente o azienda il cui fine è il monitoraggio su larga scala e sistematico dei dati personali. (esempio: se sei un avvocato che utilizza un software di terzi per gestire i dati dei tuoi clienti, non sei tu a dover prendere misure per la tutela dei dati, ma assicurati che chi ti fornisce il software lo faccia).
  5. Data Protection Impact Assessment (DPIA), non obbligatorio per aziende sotto i 250 dipendenti, è il documento che descrive i flussi di dati all’interno delle aziende e i relativi rischi per i dati.
  6. La segnalazione dei “data breach”: ossia l’obbligo generalizzato di segnalare l’avvenuta violazione, fuga o compromissione di dati. Al garante della privacy e agli interessati. Quali dati sono potrebbero essere stati violati.
  7. Coscienza dei rischi: la necessità di predisporre un documento dove riportare i rischi (informatici e non) relativamente ai dati.
  8. Entità delle sanzioni: Le sanzioni (salate!) in caso di violazione del Regolamento Europeo per la Protezione dei Dati. La violazone avviene nel momento in cui sei vittima di un data breach e tu non lo segnali, o per qualche motivo non hai dato risposta alle richieste di protezione dei dati del documento stesso.
  9. Cifratura e/o pseudonomizzazione dei dati personali: ossia il principio per cui le informazioni di identificazione (eventualmente profilazione) non devono essere conservate in maniera tale che sia riconducibile a una ben precisa persona.

Hai più chiara la situazione? Adesso riesci a capire come è messa la tua azienda?
Se stai pensando di dover sostenere spese enormi per la tutela della privacy e per proteggere i dati ti stai sbagliando, o meglio, non è proprio così. Ti spiego come approcciarti a tutte queste novità in modo da ottimizzare gli interventi.

 

GDPR: l’ennesima spesa dovuta alla burocrazia?

La prima reazione che si ha di solito è “Ecco un’altra tegola burocratica che mi farà spendere un sacco di soldi per niente”. Fermo! Riflettiamo insieme analizzando l’articolo 32 del GDPR:

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.”

Da questo estratto si evince che ogni azienda fa storia a sé e ogni titolare decide per sé, tenuto conto delle proprie peculiarità e del modo di operare della propria azienda. L’importante è avere chiaro quale deve essere il punto da raggiungere e intraprendere, di conseguenza, un percorso di adeguamento alla normativa in linea con le esigenze specifiche dell’azienda.

Ti fornisco a questo proposito alcuni consigli pratici…

 

GDPR: 5 consigli pratici + questionario

Al termine di questo percorso di conoscenza del nuovo GDPR voglio lasciarti con 5 consigli pratici su come iniziare a muoverti per raggiungere la conformità al GDPR in modo puntuale:

  • Verifica quali sono i dati personali che tratta l’azienda. Sicuramente ce ne sono diversi, a partire da quelli dei dipendenti (se sono solo su carta il problema è già risolto o quasi): verifica dove si trovano e se vengono salvati da strumenti di backup.
  • Se i dipendenti utilizzano il PC per andare su internet in siti diversi da quelli previsti per lavoro devi sapere che nel PC potrebbero essere memorizzate informazioni personali inerenti ad esempio l’aspetto sociale e culturale dell’operatore. In questo caso bisogna decidere come operare: limitando eventualmente l’accesso ai siti non previsti, concordando con l’operatore un strada comune , agendo sulla lettera di incarico.
  • Controlla regolarmente che il backup dei sistemi funzioni correttamente (chi ha il nostro servizio DRAAS non lo deve fare perché lo verifichiamo noi giornalmente).
  • Assicurati che i PC siano dotati di Antivirus e Antimalware funzionante e aggiornato (non è scontato che lo sia e chi ha il nostro servizio Care-Sys AVAM non lo deve fare, lo facciamo noi per lui).
  • Verifica che i PC aziendali siano dotati di un sistema operativo supportato dal produttore e aggiornato con le ultime correzioni inerenti la sicurezza (non è scontato che lo sia e chi ha il nostro servizio Care-Sys non lo deve fare, lo facciamo noi per lui).

 

Questionario + approfondimento gratuito

Se hai dubbi sullo stato dell’arte in cui si trova la tua azienda nel percorso di adeguamento al GDPR o vuoi semplicemente vederci ancora più chiaro, completa il breve questionario che abbiamo creato e avrai accesso all’approfondimento gratuito con il nostro specialista.

Completa il questionario da qui >>