Il Regolamento Generale sulla Protezione dei Dati General Data Protection Regulation (GDPR)

Come il GDPR influenzerà la tua politica di protezione dei dati

Verifica il tuo stato di conformità SCARICA LA GUIDA GRATUITA

Siete in regola con il GDPR?

A Maggio 2018 entrerà in vigore in tutta l’Unione Europea un nuovo regolamento in materia di protezione dei dati.

Se siete interessati, dovrete iniziare a pensare ora a come adeguarvi. Questo sito è stato progettato per aiutarvi a comprendere il GDPR, valutare i requisiti e offrirvi delle soluzioni. Il Regolamento Generale sulla Protezione dei Dati (GDPR) interesserà tutte le aziende che in Europa gestiscono in vari modi i dati personali. Inoltre interesserà qualsiasi azienda che opera in EU. Le regole sono complesse e le sanzioni per chi non le rispetterà sono onerose (fino a 20 milioni di euro).

Ma siete nel posto giusto per avere informazioni!

https://encryption.eset.com/it/wp-content/uploads/sites/12/2018/05/kalendar_it.png

Guida gratuita sul GDPR

ESET e i suoi consulenti legali hanno creato questa guida che esamina in maniera approfondita il nuovo regolamento dell’Unione Europea.

https://encryption.eset.com/it/wp-content/uploads/sites/12/2016/11/guide_general_data_protection_regulation.png

Controllo di conformità online

Il sito è stato realizzato per aiutarti a capire il GDPR, illustrare i requisiti necessari e offrire soluzioni.

Conformità con il GDPR, passo dopo passo

Le implicazioni del GDPR sono complesse, così abbiamo deciso di dividere il processo di adeguamento in tre gruppi di misure da considerare, suddivisi in varie aree così da potervi fornire spiegazioni più dettagliate. Basterà un click sulle barre del seguente diagramma per esaminare queste aree a vostro piacimento.

+In sintesi

Alcuni dei principi enunciati nel GDPR sono una continuazione di quelli proposti nell’attuale Direttiva sulla Protezione dei Dati, vale a dire: correttezza, liceità e trasparenza, limitazione a seconda dello scopo, minimizzazione dei dati, qualità dei dati, sicurezza, integrità e riservatezza.

Il GDPR stabilisce un nuovo principio di responsabilità rendendo i titolari del trattamento dei dati obbligati a dimostrare la conformità con questi principi. Inoltre, il GDPR aggiunge nuovi aspetti ai principi di protezione dei dati già esistenti, come di seguito riportato:

Liceità, correttezza e trasparenza – I dati ora devono essere elaborati in modo trasparente in relazione alla persona interessata.

Limitazione dello scopo – Con alcune distinzioni, l’archiviazione dei dati personali, considerati di pubblico interesse, non sarà considerata incompatibile con i propositi originali dell’elaborazione.

Memorizzazione – I dati personali devono essere conservati in una forma che permetta l’identificazione delle persone interessate per non più di quanto sia necessario ad adempiere ai propositi per i quali i dati personali sono stati elaborati.

Responsabilità – Il titolare del trattamento diventa responsabile, e deve essere in grado di dimostrare, il rispetto dei principi.

+Requisiti della struttura dell’azienda

Per adeguarsi al GDPR, occorre implementare una vasta gamma di misure per ridurre il rischio di violare il GDPR e consentire di dimostrare che si sta prendendo sul serio la governance sui dati. Tra le misure di responsabilità da adottare figurano: valutazioni dell’impatto sulla privacy, verifiche, revisione dei criteri, registrazioni delle attività e (potenzialmente) la nomina di un incaricato alla protezione dei dati (DPO).

Il GDPR introduce l’obbligo per una determinata tipologia di aziende di nominare un incaricato alla protezione dei dati (DPO). Le aziende devono nominare un dipendente o un consulente esterno come loro DPO.

Se siete un operatore di mercato con un vasto database di clienti, probabilmente avrete bisogno di un DPO; le autorità nazionali per la protezione dei dati sono tenute a fornire una guida a chi si deve qualificare.

Il vostro DPO sarà responsabile del controllo sulla conformità con il GDPR, informandovi sui vostri obblighi, avvertendovi su quando e come deve essere effettuata una valutazione dell’impatto sulla privacy, e sarà il punto di contatto per le richieste da parte delle autorità nazionali per la protezione dei dati e le persone.

Il concetto di sportello unico permette a un’azienda che opera in diversi paesi dell’Unione Europea di confrontarsi con un’unica autorità nazionale per la protezione dei dati , anche se le regole per determinare quale DPA debba assumere questo ruolo, e come verranno gestiti i reclami, sono in molti casi complesse.

+Elaborazioni, procedure e criteri

Il GDPR ridefinisce la violazione dei dati come “una violazione di sicurezza che comporta la distruzione accidentale o illecita, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati altrimenti elaborati”.

Questa definizione è più ampia rispetto alla precedente e non prende in considerazione il caso in cui la violazione determini un danno per l’individuo. Se subite una violazione della sicurezza dei dati, dovete informare immediatamente la vostra autorità nazionale per la protezione dei dati, o comunque non più tardi di 72 ore dopo aver scoperto la violazione..

Tuttavia, siete esentati dal segnalarla agli individui in questione se avete implementato appropriate misure tecniche e organizzative per proteggere i dati personali, come ad esempio la crittografia.

Una parte importante della conformità con il GDPR è la privacy by design, es. Progettare ogni nuovo processo o prodotto ponendo i requisiti di privacy Avanti e al Centro. Questo approccio che prima era solo una buona prassi ora è un requisito specifico.

Una valutazione sull’impatto della protezione dei dati, conosciuta anche come una valutazione sull’impatto della privacy (PIA), ha lo scopo di identificare e ridurre i rischi di non conformità.

Il GDPR rende i PIA un requisito formale; nello specifico, i titolari del processo di elaborazione devono assicurare che sia in funzione un PIA prima di iniziare qualsiasi attività di elaborazione ad “alto rischio”.

Se si opera a livello internazionale, dovranno essere presi seriamente in considerazione i ruoli e i processi per il trasferimento dei dati verso giurisdizioni esterne a quella dell’Unione Europea, come anche le sanzioni per la non conformità o per il trasferimento dei dati verso giurisdizioni non riconosciute (dalla Commissione Europea) ed aventi un regolamento non adeguato sulla protezione dei dati diventeranno molto più severe sotto il GDPR.

+Consapevolezza della sicurezza dei dati

Adesso è il momento di iniziare a spiegare la necessità di conformità al GDPR ai vostri dipendenti. Potrebbe già esserci bisogno di iniziare a pianificare delle procedure rivedute per adeguarsi alle nuove disposizioni in termini di trasparenza e diritti personali stabiliti dal GDPR. Ciò potrebbe avere delle significative implicazioni finanziarie, IT e di formazione.

+Responsabilità – misure tecniche

l GDPR fa sì che  i titolari del processo di elaborazione siano obbligati a dimostrare la conformità con i suoi principi sulla protezione dei dati, così bisognerà assicurare che si stiano attuando delle politiche chiare per dimostrare di rispettare gli standard richiesti attraverso regolari attività di controllo, revisione e valutazione delle procedure di elaborazione dei dati, assicurandosi che il personale sia istruito per comprendere i propri obblighi – ed essere pronti a dimostrarlo in qualsiasi momento le vostre autorità nazionali per la protezione dei dati lo richiedano.

+Violazione dei dati – misure tecniche

Occorre essere preparati per la violazione dei dati (definita come “una violazione di sicurezza che comporta la distruzione accidentale o illecita, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati altrimenti elaborati”) adottando politiche chiare e procedure collaudate che assicurino la possibilità di reagire e segnalare qualsiasi violazione dei dati quando richiesto.

La mancata segnalazione di una violazione quando questa si verifichi potrebbe tradursi in una multa, come anche una sanzione per la violazione stessa.

+Garantire il rispetto dei diritti della persona interessata - tecnicamente

Il GDPR rafforza i diritti delle persone interessate , per esempio aggiungendo il diritto a richiedere informazioni sui dati processati che li riguardano, l’accesso ai dati in determinate circostanze e la correzione dei dati quando questi non sono corretti.

Uno degli scopi principali del GDPR è quello di rafforzare i diritti degli individui. Di conseguenza, le regole per trattare le richieste di accesso da parte dell’individuo cambieranno, e sarà necessario aggiornare le vostre procedure per adeguarsi a questa nuova esigenza.

Nella maggior parte dei casi non sarà possibile rispettare questo tipo di richiesta e normalmente si avrà solo un mese per rispettarla (il limite attuale è 40 giorni).

Il diritto all’oblio (‘cancellazione’ nella terminologia del GDPR) consente alle persone in determinate situazioni di richiedere ai titolari del processo di elaborazione dei loro dati di cancellare i propri dati personali senza indebito ritardo, per esempio quando c’è un problema con la legalità alla base del processo di elaborazione o quando viene ritirato il consenso.

Anche i terzi con cui si condividono i dati delle persone interessate sono soggetti a queste regole.

Il GDPR definisce profilazione come “qualsiasi forma di elaborazione automatizzata dei dati personali consistente nell’uso dei dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere gli aspetti relativi alle prestazioni lavorative della persona fisica, le situazioni economiche, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la posizione o gli spostamenti”; comunque ci sono alcune ambiguità su come verrà applicato il diritto delle persone interessate a non essere oggetto di decisioni basate sulla profilazione.

Il GDPR introduce un nuovo diritto sulla portabilità dei dati, che va oltre il diritto degli individui di richiedere che gli vengano forniti i loto dati in una forma elettronica di uso comune e richiede ai titolari del processo di elaborazione di fornire le informazioni in una forma strutturata, di uso comune e leggibile da computer.

Ci sono alcuni limiti a questa regola, per esempio si applica solo ai dati processati con mezzi automatizzati.

Come parte del suo obiettivo di rafforzare i diritti degli individui, la Commissione Europea garantirà anche un diritto per limitare determinate elaborazioni e un diritto a opporsi nel caso i dati personali vengano elaborati a scopi di marketing diretto, incluse le attività di profilazione a scopo di marketing diretto.

Ogni volta che un individuo si oppone, i sui dati non dovranno essere ulteriormente elaborati per il marketing diretto e i dettagli sui contatti della persona dovranno essere aggiunti a un file di soppressione conservato in loco.

Le aziende devono informare le persone sul loro diritto di opporsi all’elaborazione dei propri dati in una maniera che sia esplicita e separata dalle altre informazioni che devono essere fornite alle persone.

+Comunicare le informazioni sulla privacy (i consensi, le corrette comunicazioni sull’elaborazione)

Potrebbe essere necessario rivedere come si richiede, ottiene e registra il consenso; un consenso dell’interessato a elaborare i suoi dati personali deve essere facile da ritirare quanto da concedere, e deve anche essere ottenuto da un’indicazione positiva nell’accordo per l’elaborazione dei dati personali – non si può considerare ottenuto tacitamente, attraverso caselle preselezionate o inattività.

Il GDPR garantisce tutele speciali per quanto riguarda il trattamento dei dati personali relativi ai minori, in particolare in relazione ai servizi Internet commerciali come i social network.

Online è richiesto il previo consenso dei genitori per l’utilizzo dei dati personali per chiunque abbia meno di 13 anni; gli Stati membri possono stabilire le proprie regole per i minori di età compresa tra i 13 ei 15 anni. Se scelgono di non farlo, è richiesto il consenso dei genitori per i minori di 16 anni.

Di conseguenza, è necessario iniziare a pensare a come implementare sistemi robusti per verificare l’età degli individui e raccogliere il consenso dei genitori o dei tutori per elaborare tali dati.

Il consenso deve essere verificabile e quando si raccolgono i dati dei minori l’informativa sulla privacy deve essere scritta in un linguaggio a loro comprensibile.

Il GDPR probabilmente aumenterà la gamma di informazioni da fornire alle persone interessate , per esempio la vostra base giuridica per l’elaborazione dei loro dati, i periodi di conservazione dei dati e il loro diritto a effettuare dei reclami alla loro autorità nazionale per la protezione dei dati se pensano ci sia un problema nel modo in cui i loro dati vengono gestiti; da notare che il GDPR richiede che queste informazioni vengano fornite in modo sintetico e con un linguaggio chiaro.

+Sicurezza dei dati (integrità e riservatezza)

Il GDPR traccia dei principi sulla sicurezza dei dati simili a quelli presenti nell’attuale direttiva, inclusi: correttezza, liceità e trasparenza, limitazione a seconda dello scopo, minimizzazione dei dati, qualità dei dati, sicurezza, integrità e riservatezza.

Si deve garantire che i dati personali siano processati in una maniera che ne assicuri la sicurezza, inclusa la protezione dalle elaborazioni non autorizzate o illegittime, dalla perdita accidentale, danni e distruzione: “L’azienda e qualsiasi altro fornitore di servizi esternalizzati dovranno adottare appropriate misure tecniche e organizzative per garantire un livello di sicurezza appropriato al rischio”.

Il regolamento suggerisce un numero di misure di sicurezza che possono essere usate per raggiungere la protezione dei dati, incluso: l’uso di pseudonimi e la crittografia dei dati personali; la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione; la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici; un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.

Il GDPR specifica come la crittografia sia uno degli approcci che può aiutare a garantire la conformità con alcuni dei suoi obblighi. Citando il regolamento:

Article 32 – Sicurezza degli stati di elaborazione

“1.   Considerando lo stato dell’arte, i costi di implementazione e la natura, la portata, il contesto e le finalità dell’elaborazione come anche le variabili legate ai rischi per i diritti e la libertà delle persone fisiche, il titolare del trattamento e l’ incaricato del trattamento dovranno implementare appropriate misure tecniche e organizzative per assicurare un appropriato livello di sicurezza dai rischi, oltretutto tenendo in considerazione: (a) l’utilizzo di pseudonimi e la crittografia dei dati personali […]”

Article 34 – Comunicazione di una violazione dei dati personali alla persona

“3. La comunicazione alla persona riferita al paragrafo 1 non sarà richiesta se viene rispettata almeno una delle seguenti condizioni: (a) Il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative, e queste misure sono state applicate ai dati personali oggetto della violazione di dati personali in particolare quelle che rendono i dati personali illeggibili per qualsiasi persona non sia autorizzata ad accedervi, come ad esempio la crittografia […]”.

+Documentazione sui dati, basi legali e revisione

Si dovrebbe documentare quali dati personali vengono ospitati, da dove provengono e con chi vengono condivisi.

Se si hanno dati personali inesatti e questi sono stati condivisi con altre aziende, il GDPR richiede che si informi l’altra azienda sull’inesattezza dei dati così che possa correggere i propri record. Tutto ciò potrebbe richiedere la verifica di un’informazione in tutta l’azienda o in particolari aree aziendali. Ciò permetterà anche di rispettare il principio di responsabilità previsto nel GDPR.

In base al GDPR, si dovrebbe esaminare come elaborare i dati personali e identificare le basi legali su cui si realizzano e si documentano questi processi.

Questo è necessario perché alcuni diritti delle persone saranno modificati dal GDPR a seconda della base giuridica per l’elaborazione dei loro dati personali. Un esempio è che le persone potranno beneficiare di un diritto più forte sulla possibilità che i loro dati vengano eliminati dove si utilizza il consenso come base legale per l’elaborazione. Comunque, il consenso è solo uno di diversi modi di legittimare l’attività di elaborazione e potrebbe non essere il migliore (visto che può essere ritirato).

Le informazioni fornite in questa pagina web non costituiscono un parere legale, e gli utenti non dovrebbero fare affidamento esclusivamente su queste nel prendere decisioni finanziarie o commerciali. ESET non sarà responsabile dei risultati di tali azioni. È sempre importante chiedere un parere legale indipendente.

Partecipa al webinar sul GDPR

Parla con i nostri esperti di come il nuovo regolamento europeo sulla protezione dei dati personali cambierà la tua attività. ESET ospita webinar per spiegare le problematiche legate al GDPR. La partecipazione ai webinar è gratuita: iscriviti e riceverai l’invito al nostro prossimo evento.

Circa l’80% delle aziende non sono ancora pronte per il GDPR

Un nuovo sondaggio condotto dalla società di analisi indipendente IDC ha rivelato che la maggior parte delle PMI europee sono impreparate sul GDPR. L’IDC ha intervistato i professionisti IT di oltre 700 aziende. Dal sondaggio è emerso che la comprensione del nuovo regolamento è ancora scarsa.

Per maggiori informazioni – e per raggiungere una maggiore consapevolezza sul GDPR – scarica il rapporto completo dell’IDC, messo a disposizione da ESET:

Comprendere l'impatto del GDPR

25% nulla | 52% limitata | 22% completa

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Per maggiori informazioni.

OK