Ne abbiamo sentito parlare spesso negli ultimi anni: il regolamento europeo 2016/679 (meglio conosciuto come GDPR) è entrato in vigore a fine Maggio 2018. Con questo articolo desideriamo offrire una guida facile al GDPR per i “non addetti ai lavori”.

“Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 in sigla RGPD (più noto con la sigla inglese GDPR), è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018 (fonte Wikipedia)”.

Il GDPR stabilisce le regole per proteggere i dati personali dei cittadini europei e si pone l’obiettivo di uniformare e normalizzare le diverse norme che regolano il trattamento dei dati personali, disciplinando in via definitiva le modalità con cui i dati e le informazioni dovranno essere archiviate, protette e rese accessibili da parte delle aziende. In pratica tutti i soggetti (aziende, enti ma anche altri cittadini), anche extra UE, che trattano dati personali di cittadini europei, devono rispettare il regolamento che è diventato, di fatto, una legge in tutti gli stati membri dell’Unione Europea.

I destinatari del nuovo regolamento sono tutti coloro che, nell’esercizio della propria attività lavorativa, utilizzano (o, appunto, trattano) i dati di altri individui e sono definiti Titolari del trattamento dei dati quando essi stessi determinano le finalità e i mezzi del trattamento dei dati personali oppure Responsabili del trattamento quando trattano i dati per conto di un titolare. Questo regolamento rende necessari degli adeguamenti soprattutto sul web, ad esempio per tutti quei siti che richiedono dati attraverso dei form oppure per chi gestisce mailing list di iscritti al sito (newsletter).

In poche parole, dovranno essere chiare le finalità per cui questi dati vengono chiesti. Già prima del 25 maggio esistevano obblighi a tutela dei dati personali (Codice per la protezione dei dati personali – D.lgs. n.196/2003) tuttavia non erano così rigidi i provvedimenti rispetto a chi non li adottava. Il mancato adeguamento al GDPR, invece, comporta sanzioni severe che possono arrivare fino a 20 milioni di euro o al 4% del fatturato.

Guida facile al GDPR per i non addetti ai lavori

Le principali novità introdotte dal GDPR

Il regolamento è composto da 99 articoli che istituiscono una serie di novità, quali ad esempio:

  • il diritto all’oblio, ovvero alla cancellazione di informazioni a proprio riguardo dai database e dagli archivi di chi tratta i dati, quando il trattamento non è più necessario per le finalità per le quali il dato era stato acquisito
  • la portabilità dei dati, ovvero il trasferimento dei propri dati da una piattaforma all’altra senza vincolarsi a un account preciso
  • comunicazione data breach, ovvero l’obbligo per le aziende che subiscono intrusioni nei database o “fughe di dati” a comunicarlo agli utenti nel giro di massimo 72 ore (art. 33).

L’articolo più importante è naturalmente il primo. In particolare, il punto 2:

Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Un’altra novità riguarda il tipo di identificazione, pensata guardando al futuro. Infatti, il concetto di dati personali si allarga a tutto ciò che ti distingue in modo univoco, comprese le caratteristiche fisiche e fisiologiche, ossia:

  • i dati genetici, ereditati o acquisiti, ottenibili tramite analisi di DNA da campioni biologici;
  • i dati biometrici, come la scansione dell’iride o l’analisi facciale;
  • ogni informazione sul tuo stato di salute, mentale e fisica, passata, presente e futura.

Quali sono i dati personali?

In pratica tutte le informazioni relative a un individuo e connesse alla sua vita sia professionale che privata. Si va dai nomi alle fotografie, dall’indirizzo e-mail ai dettagli bancari fino all’indirizzo IP. C’è ancora molta confusione su questo aspetto. In pratica il GDPR considera dati personali tutti i dati che possono servire ad identificare un individuo.

Secondo la Commissione Europeai dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può̀ riguardare qualunque cosa: nomi, foto, indirizzi e-mail, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.

Esempi di dati personali includono:

  • Nome e cognome
  • Numero di telefono
  • Indirizzo di residenza
  • Genere e nazionalità̀
  • Dati bancari
  • Informazioni mediche
  • Informazioni inerenti agli interessi e alle inclinazioni personali
  • Indirizzo e-mail quale ad esempio nome.cognome@azienda.com
  • Comportamento su un sito internet
  • Numero di carta d’identità̀
  • Dati di localizzazione (ad esempio la funzione di localizzazione su un telefono cellulare)
  • Indirizzo Internet Protocol (IP)
  • ID cookie

Esiste, inoltre, una categoria particolare di dati personali (special categories of personal data): i dati sensibili – così chiamati prima del GDPR – di cui fanno parte “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. I dati finanziari, invece, non sono considerati dati sensibili. Se un’azienda elabora dati sensibili, sono necessarie ulteriori misure e tecniche di sicurezza.

Guida facile al GDPR per i non addetti ai lavori

GDPR: responsabilità e modalità di protezione dei dati

L’autoresponsabilizzazione del soggetto che tratta i dati, con l’approccio del nuovo regolamento, è ancora più sentita. Nel DLgs 196/2003 veniva indicata una figura, il responsabile del trattamento dati, il quale si assumeva l’onere di fare da referente. Tuttavia, era il Garante della Privacy a dare l’ultima parola su ogni questione.

Il GDPR rafforza l’importanza di questo ruolo aumentandone le mansioni e le responsabilità. È, infatti, introdotto il concetto di Accountability, al quale fa capo sia il titolare del trattamento dati (ad esempio il datore di lavoro) che il responsabile della protezione degli stessi (art.37), il cosiddetto DPO (Data Protection Officer).

Il capitolo quattro del regolamento descrive gli obblighi del titolare e del responsabile del trattamento dei dati personali. In particolare, si descrivono le responsabilità delle due figure al rispetto del regolamento, l’obbligo di proteggere i dati personali che trattano (cifrandoli o applicando la pseudonimizzazione), di tenere un registro dei trattamenti, di valutare l’impatto dei trattamenti prima di procedere.

L’ultimo aspetto che merita di essere trattato è quello delle violazioni dei dati personali (data breach). La sezione 2 del capitolo 4 è dedicata proprio alla sicurezza del trattamento. L’articolo 33 è certamente uno dei più importanti: Notifica di una violazione dei dati personali all’autorità di controllo.

Il primo comma è la famosa comunicazione al Garante in caso di “data breach”:

“In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.

Adeguarsi al GDPR: gli step fondamentali

Si riassumono così gli step da seguire:

  • incrementare sensibilità e consapevolezza di dipendenti e collaboratori soprattutto sulla protezione degli strumenti di lavoro;
  • verificare il tipo di informazioni che si posseggono e si richiedono, controllando se vengono protetti con servizi e software adeguati, usando licenze corrette;
  • modificare le informative sulla privacy, usando informazioni chiare sul titolare del trattamento dati, sui contatti per modificarli o cancellarli, sulle motivazioni che portano a quel trattamento (consenso, contratto, ecc…);
  • rispondere in tempi ragionevoli (massimo 30 giorni) a richieste di modifica o cancellazione dei dati, usando sempre termini chiari;
  • nominare il DPO, persona deputata a verificare l’osservanza interna del regolamento, tranne in due casi:
    • la tua impresa non monitora dati sensibili, come quelli sanitari, quelli relativi ad opinioni politiche, religiose o ad orientamenti sessuali;
    • sei titolare di uno studio professionale in forma individuale, impresa individuale o familiare, impresa che non tratta i dati personali come proprio core business.

In altre parole, sono tenuti a nominare un DPO, ad esempio, istituti di credito, operatori del settore assicurativo (compagnie e intermediari), istituti di vigilanza, sindacati, aziende di ricerca del personale, call center, aziende nel settore sanitario e tutta la PA;

 

  • creare un registro delle attività (art. 30) dove si elencano – ad esempio – le finalità dell’elaborazione dei dati, i destinatari dei dati, l’eventuale scadenza per la loro cancellazione.
  • redigere un piano formativo che illustri rischi generali e specifici del trattamento dati, le misure da adottare, tecniche e informatiche; il Garante potrà chiedere informazioni su tale piano.
Guida facile al GDPR per i non addetti ai lavori

Conclusioni

In campo informatico, i primi e più urgenti passi da seguire sono questi:

  • avere un firewall per la sicurezza della rete e dei computer
  • avere un antivirus serio per la protezione dei PC
  • avere un sistema di backup che protegga i dati
  • verificare di non usare sistemi operativi obsoleti e non supportati come, per esempio, Windows XP o Vista oppure sistemi operativi server non più supportati come Windows Server 2003

Il GDPR ha portato grandi cambiamenti all’interno delle nostre aziende richiedendo di fatto nuovi processi e valutazione delle misure di sicurezza adottate in molti ambiti aziendali e nell’area IT.

La consulenza Nexsys ha proprio lo scopo di accompagnarti nell’adeguamento GDPR tramite una consulenza iniziale, per la definizione dei rischi a cui potrebbe esser soggetta la tua azienda; nella redazione della documentazione necessaria e nell’adeguamento tecnologico dell’infrastruttura.

La professionalità e le competenze di Nexsys ti permetteranno di progettare l’infrastruttura IT, di implementare la sicurezza informatica, di ottenere la consulenza legale in materia ed informazioni utili a redigere la documentazione richiesta.

Apri la chat
1
Possiamo aiutarti?
Ciao 👋
Possiamo aiutarti?
X