GuideSicurezza

Regolamento generale sulla protezione dei dati da Maggio 2018

Il 25 maggio 2018 entra ufficialmente in vigore il nuovo RGPD “Regolamento generale sulla protezione dei dati dell’Unione Europea”.

Ancora oggi ad essere effettive in materia di trattamento dei dati sono le line guida del 1995, quando ancora internet si diffondeva.

Il Regolamento generale sulla protezione dei dati serve soprattutto allo scopo di uniformare il processo relativo alla protezione dei dati a livello europeo.

Quali sono le novità?

E a che cosa devono fare attenzione le aziende e i gestori di siti web?

L’entrata in vigore il 25 maggio influenzerà infatti anche il commercio online e la protezione dati dei propri dipendenti.

Se perciò non vi siete ancora neanche posti il problema di come fare per essere conformi con il nuovo regolamento, sappiate che è giunto il momento di iniziare.

Regolamento e non più linee guida...

In questo caso trattandosi di un regolamento non vengono garantite né lunghe tempistiche né spazio di manovra per quel che riguarda il contenuto.

Le leggi sono immediatamente e unitariamente vincolanti per tutti gli Stati dell’Unione, e quindi anche per le piccole e medie imprese che operano al loro interno.

Il RGPD non fa eccezione: non si tratta infatti di un insieme di linee guida ma di un regolamento.

A maggio 2016 è entrato in vigore il periodo di transizione della durata di due anni del Regolamento generale sulla protezione dei dati, che giungerà a termine proprio il 25 maggio 2018: a partire da questa data la legge sulla protezione dei dati è ufficialmente valida in tutti gli stati dell’Unione Europea, venendo essa imposta nel sistema giuridico nazionale.

Questo significa che la sua attuazione non subirà ritardi.

Dall’entrata in vigore tutte le aziende e tutte le istituzioni pubbliche che lavorano con i dati privati degli utenti sono tenute a rispettare la nuova regolamentazione europea sulla protezione dei dati.

I regolamenti europei hanno la precedenza sulle leggi nazionali e prevalgono quindi in caso di incongruenza.

Tuttavia il Regolamento generale sulla protezione dei dati ha alcune clausole di apertura che servono a permettere agli Stati Membri di attenuare o rafforzare determinate leggi in materia di privacy.

Ed è a questo scopo che il parlamento tedesco ha promosso una legge che entrerà in vigore lo stesso giorno del RGPD: il nuovo Bundesdatenschutzgesetz, anche detto nuovo BDSG (o “nuova legge federale tedesca in materia di protezione dati”).

Il BDSG sfrutta lo spazio di manovra appositamente lasciato per creare delle regole nazionali di affiancamento.

Una simile mossa sarebbe auspicabile anche in Italia, in modo da guidare le aziende durante l’adeguamento, evitando così il rischio che si venga a creare dell’inutile confusione.

Al fine di aiutare le aziende in questo complicato processo, l’autorità Garante per la protezione dei dati personali ha rilasciato questa guida riassuntiva con tanto di raccomandazioni.

L’obiettivo principale del Regolamento generale di protezione dei dati è l’unificazione della protezione dati di tutta l’Unione Europea.

Se un’azienda tratta i dati con riservatezza e sensibilità non ci sono problemi. Ma se invece il datore di lavoro si trova questi dati in mano per la prima volta, è possibile che abbia la tentazione di utilizzarli anche per altri scopi, come ad esempio il controllo delle prestazioni. Il RGPD dovrebbe regolare anche questo ambito.

Contenuti del regolamento

Con il RGPD viene rafforzata sensibilmente la protezione dei dati dei privati.

Viene ampliato l’obbligo di responsabilità da parte delle aziende (accountability): saranno presenti vasti obblighi in merito alla documentazione e alla motivazione riguardo a quali dati un’azienda può registrare, a che scopo li può utilizzare e come li può elaborare.

In questo senso il Regolamento generale sulla protezione dei dati corrisponde a un lavoro impegnativo per quel che riguarda la documentazione.

Quelle aziende che già da tempo danno valore alla tutela dei dati e che tengono un registro dei processi di elaborazione degli stessi, faranno significativamente meno fatica a mettere in pratica gli adeguamenti necessari del RGPD.

Ad ogni modo il regolamento in generale non contiene alcun nuovo orientamento per quel che riguarda la protezione dati, infatti i principi noti in materia di privacy rimangono gli stessi, il RGPD si occupa semplicemente di difenderli e promuoverli.

I principi più importanti sono i seguenti:

  1. Divieto con riserva di autorizzazione: questo principio significa che ogni elaborazione di dati personali è assolutamente vietata, se non autorizzata. Questo principio sebbene già presente rimane ampiamente discusso, poiché non tutti i dati sono ugualmente importanti; tuttavia il principio vieta indiscriminatamente l’utilizzo di tutti i dati con riferimento a persone.
  2. Destinazione vincolata: le aziende possono registrare ed elaborare dati solo per certe finalità. È perciò necessario che sin dall’inizio venga formulato lo scopo di raccolta dei dati, così come è necessario che il loro successivo utilizzo sia documentato. Un esempio concreto di questo principio sono i dati rilevati da un’azienda per la compilazione di un contratto, i quali vanno sì salvati e archiviati, ma non essere utilizzati a scopi pubblicitari. Infatti questo è uno scopo differente, che necessita di un’autorizzazione separata. Le modifiche successive relative allo scopo sono permesse solamente in determinate circostanze.

  3. Minimizzazione dei dati: il principio della minimizzazione dei dati prevede che le aziende rilevino il minor numero di dati possibili. A stabilire quale sia il limite è il seguente principio: il meno possibile, ma tutti quelli necessari. Non è possibile perciò raccogliere più dati di quelli necessari per lo scopo prefissato. Questo principio intende vietare il rilevamento cieco di dati semplicemente per farne scorta.

  4. Trasparenza: l’elaborazione dei dati deve essere chiara per gli interessati. Da un lato questo significa dichiarazioni sulla protezione dei dati personali comprensibili per tutti, e dall’altro questo principio fa sì che gli utenti ottengano ampi diritti con le novità del RGDP. Così com’è stato fino a oggi, su richiesta, le aziende devono comunicare di quali dati dispongono e come questi vengono utilizzati.

  5. Riservatezza: le aziende devono sempre far sì che i dati personali dei propri clienti siano sempre protetti, e questo riguarda il lato tecnologico e organizzativo. La protezione riguarda l’elaborazione, la modifica, il furto o la cancellazione non autorizzata di dati. L’obbligo esplicito relativo alle misure tecnologiche di protezione dei dati è nuovo. Tuttavia queste misure non sono formulate con precisione all’interno del Regolamento generale sulla protezione dei dati e offrono perciò un po’ di gioco, in quanto è necessario interpretarle. Nel caso avvenga un furto dati dipende da se le misure di protezioni tecniche e di organizzazione erano adeguate al rischio e al tipo di dati archiviati.

Garante Privacy

Molte aziende infatti devono prestare attenzione poiché hanno obblighi formali sia verso i propri lavoratori che verso i propri clienti, fornitori e semplici visitatori del proprio sito web.  

Il RGDP ha naturalmente una particolare rilevanza per una specifica categoria di lavoratori: i garanti della privacy.

Infatti il RGDP farà sì che il numero di garanti aumenterà esponenzialmente a livello europeo, basti considerare che tutti gli enti pubblici e tutte le aziende all’interno dell’Unione Europea la cui attività principale verte sulla gestione dei dati personali, dovranno nominare un garante della privacy aziendale.

Ma anche se questo non dovesse essere il caso, ovvero la vostra azienda non ha l’elaborazione dati come sua attività principale, sarà comunque necessario disporre di un RPD (“Responsabile della Protezione dei Dati”, ovvero un garante) anche nel caso in cui ci siano almeno 10 persone che lavorano costantemente con l’elaborazione automatizzata di dati personali.

Questo potrebbe voler dire un grande numero di imprese di medie dimensioni.

Al massimo entro maggio 2018 è necessario che tutte le aziende interessate dal nuovo regolamento abbiano nominato il proprio garante.

Chiaramente anche per le altre aziende ha senso individuare una persona che ricopra il ruolo di garante, così da essere sicuri di portare avanti il processo di transizione congruamente a quanto stabilito dal Regolamento generale sulla protezione dei dati dell’Unione Europea.

Il Regolamento generale sulla privacy dei dati rappresenta un grande cambiamento anche per i garanti della privacy che lavorano già in un’azienda, poiché il loro ruolo all’interno della stessa cambia significativamente: se prima si occupava di adempiere alla conformità in materia di protezione dati, adesso sarà responsabile anche del controllo delle misure attuate.

In questo modo l’ambito del suo lavoro si amplia ulteriormente, così come aumenta la sua responsabilità giuridica.

Va poi tenuto in conto che il regolamento è nuovo per tutti e quindi anche il solo prendere dimestichezza corrisponde a una mole di lavoro non indifferente.

Tuttavia questa nuova legge porta beneficio anche ai garanti: la loro conoscenza e le loro capacità saranno particolarmente richieste in futuro e, con l’aumentare dei compiti, anche la loro posizione subirà una rivalutazione, chiaramente in positivo.

Sicurezza generale dei dati nelle aziende

  • Valutazione di impatto sulla protezione dei dati (DPIA o Data Protection Impact Assessment): le aziende sono obbligate a fare una valutazione di impatto, stabilendo quali misure di sicurezza adottare così da ridurre il rischio. Questo adeguamento è particolarmente importante per le aziende che si occupano di Cloud Computing, e che quindi maneggiano grandi quantità di dati di persone. Ancora più nello specifico, questa modifica riguarda la aziende che archiviano dati sanitari, i quali essendo particolarmente sensibili, aumentano considerabilmente la gravità nel caso in cui vengano diffusi.
  • Dati relativi ai dipendenti: nel calderone ci finisce anche come un’azienda tratta i dati dei propri dipendenti. Il nuovo regolamento riguarda perciò anche le risorse umane.
  • Garanti della privacy: per molte aziende sarà obbligatorio disporre di un garante della privacy d’ora in avanti. Il suo compito è quello di controllare le singole strategie di protezione dei dati sviluppate e la loro conformità con il RGDP. Questo non riguarda solamente le aziende che lavorano costantemente con una mole elevata di dati, ma anche tutte le aziende in cui ci sono almeno 10 persone che lavorano regolarmente con i dati relativi alle persone.
  • Obbligo di segnalazione: le nuove direttive del RGDP, per quel che riguarda il modo di procedere nel caso in cui si verifichi un guasto, sono decisamente più rigide rispetto a quelle precedenti. Le falle di sicurezza devono essere segnalate entro 72 ore dal momento in cui vengono identificate: sia ai diretti interessati che alle autorità competenti.
  • Responsabilità e multe: nel caso in cui avvenga una violazione nei confronti dei dati registrati è molto facile che l’azienda sia ritenuta responsabile e che venga quindi punita con pesanti multe.

Sicurezza dei dati relativi alle persone

  • Obbligo di documentazione: uno dei punti forti del nuovo regolamento sta nell’obbligo di giustificazione da parte delle aziende, anche detto accountability. Diversamente da com’è stato fino a ora le aziende sono costrette a provare la propria conformità attraverso documentazione interna. Sono infatti tenute ogni volta a riportare alle autorità quali dati sono stati archiviati a quale scopo, in che modo saranno elaborati e quando l’azienda provvederà a cancellarli.
  • Privacy by design: il principio Privacy by Design significa che le aziende devono tenere conto della protezione dei dati già nel momento dell’impostazione tecnica dei propri processi di lavoro. Non è infatti accettabile l’implementazione di misure di protezione dati a posteriori o di secondo ordine, è necessario che vengano perciò integrate nel processo lavorativo già nella fase di rielaborazione. I prodotti e i processi dovrebbero quindi essere concepiti in modo che possano essere realizzati con il minor numero possibile di dati personali.
  • Privacy by default: questa disposizione del nuovo regolamento prevede che venga adottata la variante tecnica della protezione dati di più facile utilizzo. Così facendo viene risparmiato agli utenti il dover combattere contro complesse impostazioni tecniche per rendere effettive le limitazioni all’elaborazione dei propri dati personali.
  • Basi dell’autorizzazione (consenso, accordo operativo): anche in futuro l’utente dovrà dare esplicitamente l’autorizzazione all’utilizzo dei propri dati personali, con il consenso che sarà valido solamente per lo scopo o l’oggetto specificato. Inoltre il modulo di consenso deve essere formulato in maniera comprensibile e deve rimanere accessibile da parte dell’utente con facilità. I requisiti per un consenso effettivo sono aumentati rispetto a come era in precedenza con le linee guida del 1995. Uno squilibrio tra le due parti del contratto può portare a escludere la volontarietà, e quindi anche la delega relativa al trattamento dei dati.
  • Cancellazione dei dati: i dati relativi alla persona non possono essere archiviati all’infinito, ma solamente per il tempo utile al raggiungimento del fine concordato. Terminata la potestà dell’elaborazione dei dati (che sia perché ritirata l’autorizzazione o perché l’obiettivo è stato raggiunto), i dati devono essere eliminati.
  • Diritto di accesso alle informazioni e diritto alla cancellazione: i cittadini europei hanno il diritto, se richiesto espressamente, di sapere di quali informazioni dispone un’azienda e come queste vengano utilizzate dalla stessa. Inoltre gli utenti hanno facoltà di richiedere all’azienda di cancellare i propri dati. Il “diritto all’oblio” è dunque stabilito per legge.

Lista delle cose da fare per aziende e gestori di siti web

Se a questo punto siete convinti di iniziare a darvi da fare per quel che riguarda il Regolamento generale sulla privacy dei dati, la prima cosa da tenere in conto è che le misure necessarie variano da azienda ad azienda. Tuttavia ci sono delle precauzioni che ogni azienda dovrebbe prendere, e sono proprio queste a comporre la checklist del RGPD qui di seguito.

✔ Stabilire i procedimenti per una corretta documentazione per le operazioni che coinvolgono i dati personali;

✔ configurare un archivio delle varie elaborazioni di dati;

✔ mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;

✔ verificare se sia necessario incaricare un garante della privacy;

✔ aggiornare la propria informativa sulla privacy sul proprio sito conformemente alle nuove leggi;

✔ consultarsi con il proprio responsabile del reparto tecnico (e con il garante della privacy) se le misure tecniche adottate per la protezione dati siano sufficienti o meno. In determinate circostanze devono essere introdotte ulteriori misure o integrate meglio quelle presenti nella propria infrastruttura informatica;

✔ tutti i dati raccolti che non rispettano il divieto di abbinare più consensi dovranno essere reperiti diversamente d’ora in poi ed essere registrati come dati forniti volontariamente;

✔ se sono stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali della vostra azienda, dovrebbe essere accertato che le convenzioni del Regolamento generale sulla privacy dei dati siano rispettate;

✔ verificare il processo di ricezione dei consensi sul proprio negozio online e adattare i procedimenti alle normative del RGPD;

✔ tenere le orecchie aperte per le novità relative al Regolamento sulla vita privata e le comunicazioni elettroniche, il quale si occuperà di regolare il lavoro dei commercianti online con i tool di analisi e di monitoraggio;

✔ se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’era da fare, è consigliabile richiedere consulenza professionale.

Le informazioni contenute in questo articolo sono da considerarsi a titolo indicativo. Reballing Catania non si assume alcuna responsabilità per la correttezza dei contenuti qui presenti.

Reballing Catania si occupa di assistenza hardware e software

Reballing Catania è un laboratorio specializzato in Assistenza Tecnica, riparazione Notebook ACER ASUS HP TOSHIBA SONY VAIO DELL SAMSUNG APPLE MSI, riparazione e sostituzione componenti hardware e software per Computer, Notebook, assistenza tecnica per Desktop e PC Computers.
Assistenza Vendita Computer & Notebook si trova a Catania

Il Negozio...

Assistenza computer a catania
foto interni negozio

Assistenza Computer Specializzata

assistenza tecnica a catania
laboratorio

Il laboratorio tecnico assistenza dedicato alla riparazioni di computer e notebook a Catania

Orari Apertura al pubblico

Lunedi09:00–12:30, 16–19
Martedì09:00–12:30, 16–19
Mercoledì09:00–12:30, 16–19
Giovedì09:00–12:30, 16–19
Venerdì09:00–12:30, 16–19
SabatoChiuso
DomenicaChiuso

Per Informazioni, Contatti o Preventivi

Telefono 095 818 89 18
WhatsApp:
345 28 53 429

email: info@reballingcatania.it

Ci troviamo a Catania – Via Battello n° 5/a

Articoli Correlati