GDPR 679/2016 – Dlgs 101/2018
Sono in grado di gestire tutti gli adempimenti previsti per professionisti ed imprese dal nuovo Regolamento Europeo 2016/679 (GDPR), a partire dalla analisi delle caratteristiche dell’organizzazione. Metto a disposizione una serie di procedure guidate in grado di velocizzare e semplificare l’osservanza agli obblighi normativi. L’utente viene quindi accompagnato passo a passo nella creazione e stampa personalizzata di tutti i documenti richiesti dal nuovo regolamento (informative, lettere di incarico, verbali, registro, etc.).
Primo appuntamento gratuito per capire la struttura aziendale e darvi delle informazioni sui trattamenti che effettuate, questo perché ogni azienda è unica ed è necessario capire come cucirgli addosso la normativa, in quanto non sono necessari tutti gli adempimenti per tutte le imprese. Dopo questa valutazione invierò il preventivo per l’adeguamento alla normativa privacy.
GDPR è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno. Dal 25 maggio 2018, inizierà ad avere efficacia, andando a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogando le norme che risulteranno incompatibili con il Codice per la protezione dei dati personali (dlgs.n. 196/2003) attualmente in vigore e successivamente modificato dal dlgs.n.101/2018).
CHE COSA E’ IL GDPR
GDPR è il Regolamento sulla sicurezza dei dati che si adatta all’evoluzione digitale. La Digital Transformation, il Cloud computing e l’Internet of Things sono tra i fattori responsabili di un incremento esponenziale dei dati presenti su scala globale. Si stima, infatti, che negli ultimi due anni sono stati prodotti il 90% dei dati presenti in Internet. Questa mole di dati, che prende il nome di “Big Data”, necessita di particolare attenzione per quanto riguarda la Sicurezza e la Privacy.
La Commissione Europea ha sancito un Regolamento con il quale adempire a questa necessità: GDPR UE 2016/679, acronimo di General Data Protection Regulation. Questo Regolamento ha i seguenti obiettivi:
1. Rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea.
2. Affrontare il tema dell’esportazione dei dati personali al di fuori dell’Unione Europea.
3. Ottimizzare il controllo dei dati personali dei cittadini residenti nell’Unione Europea, adattando la normativa in base al contesto che riguarda gli affari internazionali nella quale si trova il titolare del trattamento degli stessi. A differenza dell’attuale direttiva, è ammissibile che il titolare del trattamento sia una società, azienda, impresa od ente con sede legale fuori dall’UE.
4. Ridurre gli attacchi informatici che mirano al danneggiamento, di qualsivoglia natura, dei Dati personali dei cittadini di cui al punto 3.
GDPR è importante perché rappresenta uno strumento utile e versatile a disposizione dei titolari del trattamento che si adatta al contesto nel quale l’azienda si trova. Ciò significa che il GDPR non è un elenco di rigide norme da rispettare, ma d’altra parte l’azienda deve porre particolare attenzione per poter raggiungere gli obiettivi posti nel Regolamento.
Lo scopo principale del GDPR è quello di ridurre gli attacchi informatici conoscendo le specifiche vulnerabilità dell’azienda.
Proprio per la sua versatilità, si impongono anche multe salate in caso di mancato adempimento del Regolamento stesso.
LE NUOVE PAROLE CHIAVE
ACCOUNTABILITY: Il titolare del trattamento dei dati personali è colui che determina le finalità e i mezzi del trattamento, ed è il responsabile dei rischi inerenti ai diritti e alle libertà delle persone fisiche, il quale deve dimostrare di aver adottato le misure adeguate per garantire che il trattamento è effettivamente conforme al Regolamento. Queste misure, proprio per la versatilità del GDPR, si adattano al contesto aziendale.
PRIVACY BY DESIGN:
Descrive la necessità di progettare i sistemi informatici che utilizzeranno i dati personali in modo che tutelino la privacy degli interessati al trattamento. In questo modo, si predispone la gestione del ciclo di vita dei dati che inizia con la raccolta e termina con la cancellazione. Inoltre bisogna tener conto dell’esattezza, dell’integrità e della riservatezza dei dati in questione.
Al Data Protection Officer (DPO) o “Responsabile per la protezione dei dati” spetta il compito di progettare (to design) e gestire in sicurezza il sistema informatico che si occupa del trattamento dei dati personali.
PRIVACY BY DEFAULT:
Descrive la necessità di tutelare, come impostazione predefinita, la privacy degli interessati al trattamento. In questo modo, solo i dati personali necessari alle finalità del trattamento potranno essere raccolti ed utilizzati dai sistemi informatici e dai responsabili del trattamento, in uno specifico periodo di conservazione.
COME E’ POSSIBILE SODDISFARE IL GDPR ENTRO IL 25 MAGGIO 2018?
Quello che viene richiesto ai titolari del trattamento è di dimostrare di aver adottato le misure di sicurezza idonee circa il trattamento dei dati. Per poterlo dimostrare, bisogna produrre un documento scritto e/o cartaceo costituito da n. 2 moduli:
1. modulo tecnologico: nel quale dover dimostrare di aver implementato tutte le funzionalità tecniche necessarie, come:
· Abbattere le vulnerabilità dell’infrastruttura informatica, implementando tecnologie come:
– Antivirus
– Software per il report delle minacce informatiche, a partire dall’analisi reale e puntuale della situazione dei sistemi aziendali (dominio aziendale, indirizzi email specifici, indirizzo IP aziendale)
– Firewall
– Crittografia dei dati personali (la pseudonimizzazione e la cifratura dei dati personali)
– Autenticazione a doppio fattore nel caso di VPN
– Backup affidabile dei dati (capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico, inoltre AES256 bit encryption)
· Formazione degli IT manager, dei manager e del personale, i quali devono essere a conoscenza del Regolamento GDPR e delle modalità di utilizzo dei dati personali.
2. modulo legale: nel quale dover dimostrare un adeguamento legale in linea con quanto espresso dal GDPR, affrontando temi come:
· Privacy by default: La quantità di dati personali utilizzati deve essere ridotto al minimo indispensabile per poter raggiungere le finalità previste nel periodo di tempo necessario a tali fini.
· Privacy by design: Ponendo la privacy dell’interessato al trattamento al centro del progetto in questione. In questo modo, si cerca di prevenire eventuali rischi di incorrere a danni all’interessato, che si riflettono poi sull’azienda stessa, in termini economici e di immagine.
Questo documento prende il nome di Assessment, in cui il titolare del trattamento include la valutazione complessiva della situazione corrente in materia di protezione dei dati personali, nei punti espressi dal GDPR.
SANZIONI ECONOMICHE
Chiunque subisca un danno materiale o immateriale provocato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento – o dal responsabile del trattamento -, se e solo se, quest’ultimo non sia in grado di dimostrare che il danno in questione non gli sia in alcun modo imputabile.
Il Regolamento, quindi, prevede l’attribuzione di una tra le seguenti sanzioni economiche:
· una multa fino a 10 milioni di euro o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 del Regolamento;
· fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6 del Regolamento.