Il GDPRha effetto in tutti i Paesi UE dal 25 maggio 2018. L’obiettivo è favorire la tutela dei dati personali di cittadini e residenti dell’Unione Europea.
Il GDPR si rivolge e si applica a tutte le organizzazioni:
• Con residenza in un Paese membro della UE
• Con sede al di fuori della UE che operano nel territorio dell’Unione
Gli strumenti individuati dal GDPRper favorire una corretta e sicura gestione dei dati personali sono consenso e informativa, registro dei trattamenti, notifica delle violazione e designazione di un Data ProtectionOfficer(DPO).
LA NORMATIVA
General Data Protection Regulation: il GDPR
Il Regolamento UE 2016/679 datato 27 aprile 2016 è entrato ufficialmente in vigore il 24 maggio 2016 e sarà applicabile in tutti i Paesi UE dal 25 maggio 2018.
Questo periodo finestra di 2 anni si è reso necessario per permettere ai singoli stati membri di adeguare gli ordinamenti nazionali alle nuove disposizioni previste dal GDPR.
Il regolamento generale sulla protezione dei dati personali si rivolge e si applica a:
– Tutte le organizzazioni con residenza in un Pese membro della UE
– Tutte le organizzazioni con sede al di fuori della UE che operano nel territorio dell’Unione
Il GDPR definisce una serie di principi e di regole da rispettare per procedere alla raccolta, al trattamento e all’uso dei dati personali di cittadini e/o residenti (anche temporaneamente) all’interno dell’Unione Europea.
Al centro del GDPR ci sono quindi il dato personale, inteso come
«qualsiasi informazione riguardante una persona fisica identificata o identificabile» e il suo trattamento, cioè «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali»
I più importanti principi sanciti dal GDPR sono:
– Consapevolezza: L’azienda o il titolare del trattamento devono sempre, ed in ogni momento avere piena consapevolezza di come, per quali finalità e per quanto tempo i dati dell’interessato vengono gestiti all’interno della propria organizzazione.
– Privacy by design: la protezione dei dati personali deve essere garantita sin dalla fase di progettazione del trattamento
– Privacy by default: devono essere trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
– Rendicontazione: il titolare del trattamento deve poter rendicontare il corretto utilizzo dei dati e dimostrare l’adozione di misure adeguate al trattamento dei dati personali
– Trasparenza: il titolare del trattamento deve trattare i dati degli interessati in modo trasparente, mettendo a sua disposizione i dati richiesti, informandolo sui trattamenti effettuati, ecc…
– Diritto all’oblio: la persona fisica ha il diritto di ottenere in qualsiasi momento la cancellazione dei dati che lo riguardano
– Diritto alla portabilità: il diritto di ottenere in un formato strutturato e leggibile i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamento
I SOGGETTI
Il GDPR definisce una serie di soggetti coinvolti nel processo di cessione e gestione dei dati personali.
INTERESSATO
L’interessato al trattamento è la persona fisica a cui si riferiscono i dati personali. Aziende e organizzazioni non sono considerati interessati.
TITOLARE DEL TRATTAMENTO
Il titolare del trattamento è colui che decide ragioni e modi di utilizzo dei dati personalie quindi del trattamento La responsabilità giuridica del rispetto di quanto previsto dalla normativa ricade sul titolare del trattamento.
CONTITOLARI
Possono esserci più titolari del trattamento, cioè persone fisiche o giuridiche che decidano di trattare i dati dell’interessato per finalità comuni. È necessario che i contitolari stabiliscano i rispettivi ambiti di responsabilità
RESPONSABILE DEL TRATTAMENTO
Figura generalmente esterna all’azienda con competenze specifiche che ha accesso, per le attività che deve porre in atto, ai dati contenuti all’interno dell’azienda (es. sistemista di reti, tecnico PC, ecc).
RAPPRESENTANTE
Persona fisica o giuridica scelta da titolare o responsabile del trattamento con sede al di fuori della Comunità Europea, per ottemperare a quanto definito nel Regolamento e per rappresentarli davanti all’Autorità.
COME FUNZIONA
Il GDPR mira a responsabilizzare titolari e responsabili del trattamento nella gestione del dato personale e incoraggia le organizzazioni all’adozione di un comportamento proattivo che tuteli la fiducia per le informazioni fornite dai cittadini.
Nonostante sia riconosciuto un certo grado di autonomia nella definizione delle modalità di gestione del rischio e delle informazioni, il GDPR prevede una serie di misure che favoriscano una corretta e sicura gestione dei dati personali
CONSENSO E INFORMATIVA
Alla base del trattamento dei dati personali ci deve essere un consenso esplicito da parte della persona fisica, cioè una «manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».
Per garantire la maggior correttezza e trasparenza possibile il consenso deve essere accompagnato da un’informativa al trattamento dei dati personali, i cui contenuti sono indicati con precisione nella normativa.
REGISTRO DEI TRATTAMENTI
Titolari e responsabili del trattamento devono tenere un registro di tutte le attività di trattamento dei dati effettuate. La normativa prevede che all’interno del registro siano inserite informazioni quali nome e contatti del titolare del trattamento, finalità del trattamento, categorie di interessati e di dati personali, ecc…
Il registro dei trattamenti può essere inoltre richiesto in qualsiasi momento dal Garanteper attività di controllo.
NOTIFICA DELLE VIOLAZIONI
Tutti i titolari devono notificare entro 72 ore all’Autorità di controllo eventuali violazioni di dati personali (Data Breach) di cui siano venute a conoscenza. La notifica non è obbligatoria qualora non ci siano rischi legati alla violazione.
Tutte le violazioni di dati personali devono comunque essere documentate.
DATA PROTECTION OFFICER (DPO)
La nomina di un Data Protection Officer, o «responsabile della protezione dei dati», mira a facilitare l’introduzione e il rispetto delle disposizioni normative.
L’identificazione di un DPO non è obbligatoria ed è prevista dal Regolamento solo in alcuni casi.
VANTAGGI
Le complessità introdotte dal nuovo regolamento in tema di trattamento dei dati personali non devono scoraggiare ma devono anzi essere una spinta innovatrice per incrementare il grado di sicurezza in azienda e guadagnare in competitività.
Al di là di quanto previsto all’interno del GDPR è possibile individuare alcuni aspetti che potrebbero beneficiare delle novità introdotte.
FIDUCIA
Il GDPR pone al centro il cittadino e i dati che sceglie volontariamente di affidare a un’organizzazione nell’ottica di salvaguardare la privacy delle persone e la fiducia che esse ripongono nel sistema economico. In un contesto globale in cui le persone sviluppano una sempre maggiore sensibilità rispetto all’attenzione delle aziende per principi etici e morali (es: responsabilità sociale, ecosostenibilità, ecc…), lavorare in favore di una gestione responsabile dei dati personali può consolidare la relazione azienda-cliente e influire positivamente sulla brand awareness.
EFFICIENZA E SICUREZZA
Analizzando i dati forniti volontariamente le aziende possono conoscere meglio i loro clientied estrarre valore reale sviluppando attività mirate ed efficienti.
La gestione consapevole permette inoltre maggiore sicurezza favorendo un intervento più rapido in caso di data breach e una risposta adeguata che limiti le eventuali conseguenze.
COERENZA COMUNITARIA
Prima del GDPR la protezione dei dati personali era affidata ai singoli stati membri che decidevano autonomamente come tutelare la privacy delle persone: questa situazione rendeva particolarmente difficile il lavoro delle aziende che operano in diversi Paesi UE che di volta in volta dovevano confrontarsi con norme diverse.
Il nuovo Regolamento armonizza a livello europeo la tutela dei dati personali e fornisce un unico quadro normativo alle aziende che possono così ridurre rischi, incertezza e costi.
SOLUZIONE
La soluzione ZGDPR Zucchetti permette di gestire, con un’interfaccia gradevole e semplificata, le diverse attività previste per adempiere a quanto richiesto dal nuovo Regolamento Europeo.
Accessibile via web, ZGDPR consentirà di inserire manualmente, o importare da fonti esterne, gli elementi indispensabili per una corretta formulazione del Registro del Trattamento dati, sia dal punto di vista del Titolare del Trattamento che del Responsabile del Trattamento, in base alle necessità dell’utilizzatore.
ZGDPR consentirà di ottenere, ove previsto dagli applicativi e servizi Zucchetti, l’elenco delle attività svolte dall’azienda per riuscire a facilitare la generazione e gestione della Valutazione di Impatto o PIA (Privacy Impact Assessment).
Oltre all’indicazione delle caratteristiche dell’azienda (Ubicazione, Locali, Strumenti, Risorse, ecc) ZGDPR permetterà di creare template di documenti personalizzabili per le specifiche esigenze, con un potente e semplice strumento di editing.
L’analisi del rischio consentirà di analizzare nel dettaglio la filiera del trattamento del dato per individuare ed eventualmente correggere i punti deboli consentendo al Titolare del Trattamento del dato di rimediare a eventuali criticità nella gestione dello stesso.
Sarà possibile completare il flusso delle informazioni indicando anche i processi formativi a cui i dipendenti sono assoggettati come previsto dal Regolamento.
Un intuitivo e semplice strumento di aiuto ti permetterà di identificare in ogni momento l’attività richiesta e ottenere la soluzione più adatta.
La gestione del Data Breach consentirà al Titolare di ottemperare per tempo alla comunicazione di eventuali manomissioni, smarrimento, furto di dati, come indicato dal Regolamento.
RIASSUMENDO
• Il General Data Protection Regulation (GDPR) avrà effetto a partire dal 25 maggio 2018e obbligherà le aziende ad adeguarsi per dimostrare l’esistenza di un flusso consapevole e regolato per la protezione dei dati personali.
• L’obiettivo del GDPR è favorire la tutela dei dati personali forniti volontariamente da cittadini e residenti dell’Unione Europea e creare un contesto regolato che favorisca la libera circolazione dei dati tra i Paesi membri.
• Il nuovo Regolamento si applica alle organizzazioni con residenza in un Paese membro della UE e alle organizzazioni con sede al di fuori della UE che operano nel territorio dell’Unione e che trattano dati personali.
• Gli elementi cardine del GDPR sono il dato personale e il trattamento. Tra i principi più importanti sanciti dal Regolamento ci sono consapevolezza, trasparenza, rendicontazione, diritto all’oblio e diritto alla portabilità.
• I soggetti coinvolti nel processo di cessione e gestione del dato personale sono gli interessati, i titolari del trattamento, i contitolari, i responsabili del trattamento e i rappresentati.
• Gli strumenti individuati dal GDPR per favorire una corretta e sicura gestione dei dati personali sono consenso e informativa, registro dei trattamenti, notifica delle violazione e designazione di un Data ProtectionOfficer(DPO).
• Il Regolamento rappresenta un’opportunità per tutte le organizzazioni per guadagnare in competitivitàgrazie all’incremento del grado di sicurezza informatica e a una normativa omogenea a livello comunitario.
• ZGDPRè la soluzione Zucchetti accessibile via webche permette di gestire gli adempimenti previsti dal GDPR. Un assistente virtuale ti aiuterà a indentificare lo strumento più corretto in base all’attività che si intende svolgere.