06 3751 8234 info@saltech.it

CONSULENTE GDPR

Richiedi una consulenza per adeguare la tua azienda alle ultime novità in fatto di privacy e sicurezza dei dati, in base alla nuova direttiva europea.

Per un contatto diretto con il nostro esperto sul GDPR: Dottor Paolo Nardi

GDPR: salvaguardare la privacy di tutti i tuoi clienti

Il GDPR è l’acronimo per General Data Protection Regulation e fa riferimento alla normativa UE 2016/679, che regola trattamento e la circolazione dei dati personali.

In Italia, il GDPR è regolato dal Decreto legislativo 10 agosto 2018, n. 101 (Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU Serie Generale n.205 del 04-09-2018). 

Con il termine dati personali si indica qualsiasi informazione riguardante una persona fisica identificata o identificabile, indirizzi IP compresi.

Senza dubbio, si tratta della più importante regolamentazione europea in materia di privacy, tanto che le implicazioni per le aziende sono tante e da non sottovalutare.

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Se, concettualmente, il GDPR è relativamente semplice, sul lato pratico le cose si complicano.

A chi si applica il GDPR?

Questa è la prima domanda a cui rispondere quando si parla di GDPR.

Le entità che devono adeguarsi alla normativa sono tre:

  • Una società o entità che tratta dati personali come parte delle attività di una delle sue filiali stabilite nell’UE, indipendentemente da dove i dati sono trattati
  • Una società stabilita al di fuori dell’UE che offre beni/servizi o che controlla il comportamento delle persone nell’UE
  • Qualunque azienda di piccole o medie dimensioni che elabora i dati personali

Adeguarsi al GDPR nel modo corretto è importante, soprattutto per evitare le pesanti sanzioni previste: le organizzazioni non conformi, infatti, possono ricevere una multa che arriva fino ai 20 milioni euro o che equivale al 4% del fatturato annuo globale, quando superiore.

Cosa fare per essere in regola?

Gli accorgimenti per essere in regola e ottenere la compliance sono 6.

Preparare l’organizzazione

Il primo passo da fare è introdurre in azienda gli obblighi del GDPR ed effettuare una formazione del personale sui principi di sicurezza informatica come “privacy by design” e “privacy by default”, designando un responsabile della protezione dei dati.

Effettuare l’audit dei dati

È importante sapere dove sono custoditi tutti i dati, chi dispone dell’accesso e su quali dispositivi, incluso nel caso di responsabili terzi del trattamento dei dati, e aggiornare le attuali informative sulla privacy.

Partner di servizi di audit

Bisogna assicurarsi che i partner di servizi siano conformi al GDPR o dipendano da una giurisdizione riconosciuta ufficialmente per il trattamento dei dati.

Fornire l’informativa e Ottenere il consenso se necessario

I contenuti dell’informativa (ovvero una comunicazione rivolta all’interessato che ha lo scopo di informare sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento) sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento

Rispondere ai diritti relativi ai dati

È necessario implementare procedure che consentano all’azienda di rispondere ai diritti dell’interessato, quali accesso, rettifica e cancellazione dei dati.

Prepararsi ai data breach

Assicurarsi che esistano procedure in atto per rilevare, indagare e segnalare violazioni dei dati personali entro la tempistica massima di 72 ore per la notifica prevista dal GDPR. Se ancora non l’hai fatto, adeguarsi al GDPR è una pratica importantissima per il futuo della tua azienda.

Richiedi subito una consulenza per adeguarti alle ultime novità in fatto di privacy e sicurezza dei dati.