La protezione dei dati nelle imprese è regolata da un insieme di regole obbligatorie per qualsiasi soggetto che effettui il trattamento dei dati personali.

Questa modifica legislativa sta introducendo importanti sfide per le aziende per conformarsi ai nuovi requisiti in materia di trattamento dei dati personali dei propri utenti e clienti. Tuttavia, un’indagine IDC ha rivelato che, a febbraio 2018, il 65% delle società italiane non poteva ancora garantire la conformità.

Questo dato è allarmante, soprattutto considerando le pesanti sanzioni che verranno applicate dalle organizzazioni che non si conformeranno, e che possono arrivare fino al 4% del loro fatturato globale annuo, ovvero 20 milioni di euro. È importante sottolineare che tali sanzioni si applicheranno sia ai responsabili del trattamento che agli incaricati, il che impone il rispetto del GDPR ai fornitori di servizi cloud.

 

Protezione dei dati aziendali: di cosa si tratta?

Quando parliamo di protezione dei dati personali, ci riferiamo sia ai diritti delle persone fisiche, sia agli obblighi delle società che effettuano un trattamento dei loro dati.

Il nuovo regolamento considera i dati personali come informazioni che possono identificare direttamente o indirettamente una persona fisica, come ad esempio:

“Un nome, un numero di identificazione, dati sulla posizione, un identificatore online o uno o più elementi dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di detta persona.”

La protezione dei dati personali è un diritto incluso nella Carta dei diritti fondamentali dell’Unione europea .

Per trattamento di dati personali invece, nel testo della Legge si intende qualsiasi operazione effettuata su tale informativa, quale:

“La raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, utilizzo, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di accesso, raccolta o interconnessione, limitazione, cancellazione o distruzione.”

Protezione dei dati aziendali: mi riguarda?

Gli obblighi in materia di protezione dei dati riguardano qualsiasi azienda o ente pubblico o privato che effettua un trattamento di dati personali. In particolare, anche i lavoratori autonomi devono attenersi alla normativa.

Inoltre, il nuovo regolamento amplia il concetto di dati personali, che ora includerà anche identificatori online (come gli indirizzi IP), oltre alle categorie già fornite in precedenza.

Un’altra novità è che anche le organizzazioni situate al di fuori dell’UE saranno soggette al nuovo standard se elaborano e conservano i dati personali degli utenti che risiedono nell’Unione. Queste organizzazioni saranno obbligate a nominare un rappresentante nell’Unione europea, che fungerà da punto di contatto con le autorità di controllo e con i cittadini dei diversi Stati membri.

 

Che diritto hanno i miei clienti?

La normativa sulla protezione dei dati prevede che ogni persona fisica possa esercitare una serie di diritti dinanzi al responsabile del trattamento, che nella normativa precedente erano noti come diritti ARCO, e che il GPDR estende:

• Accesso: diritto di contattare il responsabile del trattamento per sapere se si tratta o meno di dati personali della persona.
• Rettifica: diritto di ottenere la rettifica dei dati personali inesatti.
• Opposizione: diritto di opposizione al responsabile del trattamento dei dati personali.
• Cancellazione: diritto alla cancellazione dei dati personali, chiamato anche “diritto all’oblio“.
• Limitazione del trattamento: nuovo diritto introdotto dal GDPR per ottenere la limitazione del trattamento dei dati effettuato dal responsabile.
• Portabilità: nuovo diritto di recuperare i dati personali in un “formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile” per trasmetterli ad un altro titolare del trattamento, anche automaticamente, se tecnicamente possibile. Inoltre, le persone possono richiedere in qualsiasi momento la conferma del trattamento dei propri dati personali e delle sue finalità, oltre a poter ottenere una copia degli stessi gratuitamente.
• Diritto di non essere oggetto di decisioni individuali automatizzate, per garantire che la persona non sia oggetto di una decisione basata unicamente sul trattamento dei propri dati, compresa la profilazione, che produca effetti giuridici su di essa o che incida in modo analogo in modo significativo su di essa.
• Informazioni: diritto di essere informato sulla raccolta dei dati personali. I nuovi regolamenti raccomandano di fornire informazioni per livelli: informazioni di base al momento della raccolta dei dati personali e informazioni aggiuntive una seconda volta.

 

Quali novità introduce la nuova Legge?

Oltre a un’estensione dei diritti delle persone fisiche, che abbiamo visto nella sezione precedente, il nuovo Regolamento generale sulla protezione dei dati (GDPR) introduce altre nuove funzionalità:

• Un nuovo modo di intendere il consenso degli utenti al trattamento dei propri dati , che ora deve essere “univoco” ed “esplicito”. Ciò significa, prima di tutto, che le aziende dovrebbero semplificare i testi esplicativi utilizzando un linguaggio chiaro e semplice, evitando il gergo legale. D’altra parte, non sarà più possibile utilizzare caselle contrassegnate per impostazione predefinita o accettazione di base per inazione dell’utente. Occorre inoltre richiedere il consenso per ciascuna finalità del trattamento, qualora ve ne siano più.
• L’obbligo di essere trasparenti di fronte agli incidenti di sicurezza. Le società avranno un limite di 72 ore – salvo casi speciali – per notificare qualsiasi violazione dei dati personali alle autorità nazionali di controllo e alle persone interessate. In questo modo, saranno obbligati per legge a essere trasparenti nei confronti dei propri clienti, il che introduce una sfida molto significativa, considerando  quanto possa essere dannoso per la reputazione e l’equità del marchio un incidente di sicurezza mal gestito .
• L’obbligo di protezione dei dati dal design e per impostazione predefinita. Un’altra grande sfida per le aziende è rappresentata dal grande sforzo che dovranno compiere per rispettare i principi di protezione dei dati by design e by default. L’adesione a questi principi implica l’effettuazione di una riprogettazione dei prodotti e dei servizi, tenendo conto del diritto alla protezione dei dati per, ad esempio, ridurre al minimo il trattamento dei dati personali, o la pseudonimizzazione degli stessi.
• Il delegato alla protezione dei dati. Questa nuova figura ha il compito di informare e consigliare tutti i dipendenti dell’organizzazione sugli obblighi ai quali sono soggetti dalla normativa, oltre a vigilare sul loro rispetto e fungere da punto di contatto con l’autorità competente. Questo professionista deve godere di una certa indipendenza, essendo obbligato a rendere conto solo all’alta dirigenza. Tuttavia, questa nuova cifra non è necessaria nel caso di organizzazioni non pubbliche, o che il trattamento non richieda un’osservazione abituale e sistematica su larga scala degli utenti, o che non siano oggetto di trattamento categorie particolari di dati personali, quali come quelli relativi alla salute o alle convinzioni religiose e politiche.
• Infine, le nuove normative danno una protezione speciale alla gestione dei dati personali dei minori, soprattutto in relazione ai social network e ad Internet.

 

I 6 passaggi per conformarsi al GDPR

Rispettare il nuovo regolamento sulla protezione dei dati non è né facile né veloce. Per questo, l’Agenzia italiana per la protezione dei dati ha messo a disposizione delle organizzazioni un gran numero di risorse, manuali e guide, nonché una tabella di marcia pratica costituita da 6 fasi per quelle aziende private che devono adeguarsi al regolamento:

1. Nominare il responsabile della protezione dei dati se siamo obbligati a farlo, o, in caso contrario, identificare nella nostra organizzazione le persone responsabili del coordinamento dell’adattamento.
2. Preparare un registro di tutte le attività di trattamento che svolgiamo.
3. Condurre un’analisi del rischio, comprese le attività per identificare, valutare e mitigare il rischio.
4. Rivedere le proprie misure di sicurezza alla luce dei risultati dell’analisi dei rischi.
5. Stabilire quei meccanismi e processi per la notifica di incidenti di sicurezza e violazioni dei dati personali.
6. Se l’analisi dei rischi lo motiva, eseguire una valutazione dell’impatto sulla protezione dei dati (EIPD) per valutare i potenziali rischi a cui sono esposti i dati personali, in base alle attività di trattamento che vengono svolte.

Conclusione

Abbiamo visto una sintesi di cosa significa rispettare il nuovo regolamento generale sulla protezione dei dati e la sua importanza di applicazione per ogni tipo di attività che tratti i dati.

Detto tutto ciò, leggi la certificazione iso 27001 che offriamo alle aziende per tutelare sé stesse e i propri dipendenti in merito alla sicurezza dei dati e alla consueta gestione delle informazioni!

Inoltre, ricorda che é possibile visionare le linee guida per accedere alla certificazione iso 27001 dal nostro sito.