GDPR: ecco cosa fare per mettersi in regola.

Posted on

TeamSystem GDPR

Un piccola guida per non lasciarsi spaventare dal nuovo Regolamento Europeo

GDPR: di cosa parliamo

Il “GDPR” (“General Data Protection Regulation”) è il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali che entrerà in vigore in tutti i Paesi dell’Unione Europea a partire dal prossimo 25 maggio 2018.

Cittadini e imprese saranno oggetto di importanti novità per migliorare il livello di tutela e rafforzare la fiducia e il sostegno della gente nei confronti della crescita inarrestabile dell’economia digitale.

GDPR riguarda anche la mia azienda?

Il GDPR riguarda tutte le imprese e gli studi professionali che trattano i dati personali sia in Italia che nel resto dell’Unione Europea. Si applica inoltre anche a quei soggetti economici che pur avendo la propria sede al di fuori dell’UE, vendono beni o servizi, anche via internet, all’interno dei paesi dell’Unione Europea.

Cosa sono i dati personali?

Per dato personale si intende qualunque tipo di informazione riconducibile ad un singolo individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.

Quali sono le responsabilità e i rischi che corre un’azienda oppure uno studio professionale?

Ai sensi del GDPR, dovrai adottare tutte le misure di protezione dei dati previste dalla normativa.  Ecco alcuni esempi di quello che dovrai fare per adeguarti al GDPR:

  • informa in modo chiaro, semplice e non “legalese” i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
  • in caso di violazioni di dati o data breach– ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – dovrai darne comunicazione entro 72 ore all’Autorità di controllo;
  • assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un’altra azienda (i.e. portabilità);
  • chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
  • nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati.

Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20 milioni di Euro o – nel caso di imprese – fino al 4% del fatturato globale dell’esercizio precedente, se superiore.

Cosa fare per adeguarsi e da dove iniziare?

La nuova normativa richiede di adottare una serie di misure per proteggere in modo adeguato i dati delle persone con cui la tua azienda o il tuo studio si trova ad operare, ad esempio i dati dei tuoi dipendenti e dei tuoi clienti.

La prima cosa da fare, quindi, è prendere consapevolezza:

Cosa si intende per “trattamento” di dati personali? Quali trattamenti esegue tipicamente un’azienda o uno studio professionale?

Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.

I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali.

Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di studi professionali e aziende:

  • anagrafiche clienti
  • anagrafiche dipendenti
  • anagrafiche fornitori
  • videosorveglianza
  • campagne commerciali e di marketing
  • gestione di un sito web

Che cosa sta facendo TeamSystem per il GDPR?

TeamSystem ha avviato da tempo un progetto di adeguamento al GDPR con un team di professionisti legali ed esperti per migliorare le caratteristiche di sicurezza dei propri prodotti e servizi ed elevare il livello di protezione dei dati personali.

  • Stiamo aggiornando i nostri applicativi allo scopo di introdurre funzionalità specifiche per aiutare i clienti a soddisfare i requisiti dicompliance previsti dal GDPR, secondo le logiche della privacy by design e privacy by default richieste dal GDPR.
  • Stiamo rafforzando le misure di sicurezza nei servizi erogati ai clienti allo scopo di ridurre i rischi di trattamenti non conformi, introducendo il principio della protezione dei dati personali sin dalle fasi di sviluppo e progettazione degli applicativi.