GDPR - Domande frequenti

GDPR (General Data Protection Regulation) - D-Lgs UE 2016/679

Chi è interessato dal regolamento?

Chiunque per professione o meno gestisca dati riferiti a persone fisiche, quindi chi ha o gestisce:

  • Siti web o aree digitali di pubblico accesso
  • Dipendenti
  • Clienti privati
  • Dati privati provenienti da aziende clienti (es. consulente del lavoro, commercialista, etc.).

In sostanza tutti i soggetti appartenenti alle seguenti categorie:

  • Aziende
  • Pubbliche Amministrazioni
  • Liberi Professionisti e/o studi professionali (sanitari, legali, commerciali, tecnici, etc.)
  • Artigiani e commercianti
  • Onlus e associazioni

 

Cosa stabilisce, in linea di principio il GDPR per i Titolari dei Trattamenti?

  • Liceità, trasparenza e correttezza dei trattamenti dati nei confronti dell’interessato.
  • Limitazione delle finalità a quelle dichiarate per cui si è richiesto il consenso.
  • Richieste dati non in misura superiore a quelli necessari (minimizzazione dei dati).
  • Esattezza e aggiornamento dei dati.
  • Limitazione della conservazione temporale dei dati (cancellazione se non più necessari).
  • Dati integri e riservati, trattati in sicurezza rispetto a perdita, corruzione o distruzione.
  • Responsabilità totale da parte del titolare del trattamento (Accountability).

Queste responsabilità sono definite per garantire i seguenti diritti agli interessati:

  • Diritto di accesso (Art. 15)
  • Diritto alla cancellazione o all’oblio (Art. 17)
  • Diritto alla rettifica (Art. 16)
  • Diritto di Limitazione al Trattamento (Art. 18)
  • Diritto alla Portabilità dei dati (Art. 19)
  • Diritto di Opposizione (Art. 21)

 

In pratica cosa comporta l’adeguamento alla normativa?

È necessario effettuare un processo di analisi e documentazione con questi obiettivi:

  • Definire quali dati vengono acquisiti e trattati in azienda e a chi appartengono.
  • Per quali finalità, per quale durata e con quale modalità avviene la custodia e il trattamento.
  • Richiedere il consenso ai privati interessati in modo semplice, chiaro e esplicito.
  • Nominare i soggetti interni e/o esterni all’organizzazione per ogni tipo di dato e/o trattamento.
  • Trasmissione della nomina del DPO (Data Protection Officer) al Garante della Privacy.
  • Definire, compilare e gestire il “registro dei trattamenti” (Art. 30).

Quindi si dovrà effettuare una “Valutazione dei Rischi” di ogni dato/trattamento secondo i parametri dell’importanza/minaccia e possibile impatto sull’interessato, in caso di perdita, e quindi, se permangono rischi elevati, bisognerà andare alla mitigazione del pericolo mediante accorgimenti tecnologici e/o procedurali.

Le modalità di gestione della sicurezza includono una serie di raccomandazioni diverse per ogni applicativo, sistema e infrastruttura, e sono estremamente capillari. Possono comprendere, in modo assolutamente non esaustivo (possono essere centinaia di interventi o pochi, in funzione dello stato delle infrastrutture, delle procedure e degli applicativi), i seguenti elementi:

  • Analisi dei registri del sistema informativo con strumenti automatici di alerting.
  • Strumenti di gestione del parco hardware/software con patching di sicurezza continuo.
  • Criptazione e/o anonimizzazione/pseudonimizzazione dei dati “speciali” (genetici/biometrici, giudiziari, sanitari, relativi a minori di 14 e 16 anni, in ambito lavorativo).
  • Gestione della trasmissione/ricezione dati da e verso aree di archiviazione interne o esterne (cloud) in modalità sicura.
  • Attivazione e gestione di modalità di accesso con autenticazione forte per tutti gli utenti.

A questo punto, se tutto viene eseguito correttamente, l’azienda è conforme al regolamento GDPR e può iniziare la gestione mediante:

  • Auditing periodico delle variazioni eventuali a tutte le procedure precedentemente descritte.
  • Calendarizzazione delle attività e gestione delle scadenze.
  • Gestione dell’evoluzione dei rischi, dell’evoluzione tecnologica e legislativa.

 

E se, nonostante tutte le misure prese, ci fosse una violazione di sicurezza?

L’evento “Data Breach” (Art. 33) deve essere comunicato entro 72 ore al Garante Privacy, secondo modalità e con responsabilità dettagliate e documentate in anticipo. In seguito la stessa violazione va comunicata agli interessati (Art. 34).

 

E se si è inadempienti, in toto o in parte, che cosa si rischia?

Esiste una responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del Regolamento (art. 82), inoltre si rischiano sanzioni pecuniarie in caso di accertamento e/o denuncia. Le sanzioni devono essere per norma “Effettive, Proporzionate e Dissuasive”, (Art. 83). In pratica per ogni singolo caso, in funzione della gravità e delle circostanze, “fino a 20 milioni di euro o fino al 4% del fatturato mondiale dell’esercizio precedente, se superiore”.

 

Come Aero3 Srl supporta aziende, PA, studi professionali, artigiani, commercianti e associazioni?

  • Effettuando in accordo con il titolare del trattamento e con il Dpo tutta la parte di adempimenti derivanti dall’analisi: produzione documentale di consensi, nomine, registro dei trattamenti e analisi dei rischi.
  • Analizzando la congruità di tutta la parte tecnologica relativa alla mitigazione dei rischi in chiave GDPR, con progettazione, installazione, messa in opera delle eventuali misure di sicurezza necessarie e stesura della relativa documentazione.
  • Pianificando e gestendo gli auditing periodici (trimestrali, semestrali o annuali).

Nel dettaglio

  • Gestione anagrafiche di persone fisiche/giuridiche coinvolte nel processo di conformità al GDPR.
  • Gestione delle nomine/revoche dei Responsabili dei Trattamenti e/o della Protezione dei dati.
  • Per ogni responsabile: definizione dei trattamenti e delle finalità di ognuno di essi.
  • Generazione dei registri delle attività dei trattamenti da parte di Titolari e/o Responsabili.
  • Valutazione dei rischi ai sensi della norma ISO 27000 con identificazione delle minacce.
  • Redazione dei Piani di trattamento dei rischi;
  • Gestione scadenze per revisioni con calendarizzazione delle attività e alert preventivi.
  • Archiviazione crittografata di tutti i documenti, inclusi quelli di consenso, generati o ottenuti.
  • Aggiornamento costante alla normativa vigente.

In più
Supporto alla progettazione, realizzazione e conduzione delle procedure e/o infrastrutture necessarie per il rafforzamento della sicurezza e la mitigazione del rischio, sia in locale che in cloud. Eventuale realizzazione della parte tecnologica di supporto dell’intera costruzione inerente la sicurezza dei dati e dei relativi trattamenti.

 

Richiesta informazioni: Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo.