Supporto
 

Shop

GDPR – Regolamento Generale sulla Protezione dei Dati

Dal 25 maggio 2018 entrerà in vigore il GDPR, Regolamento Generale sulla Protezione dei Dati – Regolamento UE 2016/679, attraverso il quale la Commissione Europea intende intensificare la protezione dei dati di cittadini e residenti UE.

Nuove norme e nuove sanzioni

 

Attraverso il GDPR, la Commissione Europea si pone l’obiettivo di rimettere cittadini e residenti nelle condizioni di controllare i propri dati personali e di rendere omogenea la normativa sulla privacy all’interno di tutti i Paesi UE, con sanzioni fino al 4% del volume globale di affari per i trasgressori.

Echo Sistemi propone un servizio veloce e diretto per la compliance al GDPR a Siracusa, tramite un intervento in teleassistenza oppure fisicamente.

In cosa consiste il GDPR?

Il regolamento si rivolge alla salvaguardia dei dati personali delle persone fisiche, che vengono considerati dalla Commissione Europea secondo questa definizione:”I dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica.

Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”, andando a porre una serie di regole e adempimenti da rispettare.

Le regole vengono accorpate in un insieme unico, mentre ogni Stato membro istituirà un’autorità indipendente per dare udienza ai reclami, svolgere indagini su infrazioni ed eventualmente comminare sanzioni amministrative; inoltre, essa fungerà da sportello unico facente funzione di supervisore alla gestione dei dati.

A chi si applica?

Il GDPR dovrà essere rispettato da tutti quei professionisti e aziende che trattano i dati personali appartenenti esclusivamente alle persone fisiche, utilizzando modalità di trattamento automatizzate, semi-automatizzate o manuali (in caso di memorizzazione in archivi) se riguardano l’offerta di beni o servizi e anche quelli raccolti attraverso il monitoraggio dei comportamenti dei soggetti interessati.

Il regolamento non include la gestione dei dati personali per attività di sicurezza nazionale o di ordine pubblico (ad es. per la prevenzione, indagine e persecuzione di reati penali o esecuzione di provvedimenti penali).

Dove si applica?

Il GDPR si applica a tutte quelle attività di gestione dei dati personali poste in essere da professionisti, imprese, enti e organizzazioni sia con sede legale in uno degli Stati membri dell’UE sia al di fuori dell’UE se trattano dati personali di cittadini e residenti nell’Unione Europea.

Responsabilità e consenso dell’interessato

Con la nuova normativa, viene stabilito che l’onere di dimostrare che il soggetto interessato ha dato il suo consenso al trattamento dei dati non grava più sul soggetto stesso (come stabilito finora dal Codice per la protezione dei dati personali) ma sul titolare dell’attività che incamera e gestisce i dati, secondo il principio di “responsabilizzazione” (accountability).

Deve quindi essere fornita una richiesta di consenso esplicita e formulata in maniera semplice e chiara, garantendo al contempo che le finalità di trattamento dei dati siano esplicite, legittime, adeguate e pertinenti.

L’interessato ha il diritto di conoscere con trasparenza le modalità con le quali i dati verranno trattati nonché di richiedere la rettifica o la cancellazione dei dati stessi. Sempre secondo lo stesso principio, avrà il diritto di opporsi al trattamento dei dati, se subentreranno dei motivi specifici.

Sicurezza dei dati

La sicurezza dei dati sarà garantita dal Titolare e dal Responsabile del Trattamento; essi dovranno adottare misure tecniche e organizzative per rendere idoneo il livello di sicurezza; in particolare, dovranno garantire che l’accesso ai dati sarà effettuato esclusivamente previa apposita formazione e nel rispetto dei poteri da essi conferiti.

Il GDPR prevede misure anche in caso di spostamento dei dati in Paesi al di fuori dell’Ue o in organizzazioni internazionali i cui standard di sicurezza in materia di tutela dei dati siano differenti.

Il Responsabile della protezione dei dati – DPO

Una delle novità più rilevanti del GDPR è l’introduzione della figura del DPO,  cioè un soggetto esperto in materia di legislazione e pratiche relative alla gestione dei dati ma anche in grado di fornire un approccio manageriale e con una buona conoscenza delle nuove tecnologie.

Il DPO darà supporto al titolare del trattamento dei dati, assicurandosi, al contempo, che il regolamento sia correttamente osservato e verrà nominato dal titolare o dal responsabile del trattamento dei dati in tre casi:

  • quando il trattamento avviene per mano di un organismo o un’autorità pubblica;
  • se le attività di raccolta dati principali richiedono un monitoraggio regolare e sistematico di dati su larga scala;
  • nel momento in cui le attività di raccolta e trattamento riguardano categorie particolari di dati personali o di dati relativi a condanne penali e a specifici reati.

 

Violazione dei dati (Data Breach)

Nel caso si verifichino delle fughe di dati (il cosiddetto Data Breach), il titolare del trattamento dovrà comunicare la fuga di dati all’autorità nazionale entro 72 ore dal momento in cui ne è venuto a conoscenza.

Se tale comunicazione non avverrà entro le 72 ore, dovrà essere corredata di un’adeguata giustificazione.

La comunicazione dovrà contenere:

  • la natura della violazione;
  • il nome e il contatto del responsabile della protezione dei dati;
  • la descrizione delle probabili conseguenze della fuga di dati;
  • le misure proposte per porre rimedio alla violazione e/o per attenuare eventuali effetti negativi.

 

Diritto alla cancellazione, limitazione e rettifica

Nel GDPR, il diritto alla cancellazione va a sostituire il diritto all’oblio. Il soggetto potrà cancellare i dati personali nel caso riterrà che siano venute meno le condizioni di legalità.

Il soggetto dovrà poter richiedere la cancellazione dei dati con la stessa facilità con cui ha espresso il consenso al trattamento. Una volta avvenuta la richiesta, il responsabile del trattamento dovrà comunicare l’avvenuta cancellazione e, dietro richiesta, anche i destinatari ai quali la richiesta è stata inoltrata.

PANORAMICA

 

Il 25 Maggio cambia radicalmente la disciplina sulla protezione dei dati personali.

 

Le informative ai clienti, dipendenti, collaboratori e fornitori cambiano, i diritti degli interessati sono aumentati, le sanzioni applicate per omissioni/violazioni possono essere ingenti.

 

Chi non si adegua, rischia pesantemente.

 

Cosa occorre fare?

 

– Analizzare attentamente l’attuale livello di informatizzazione e produrre l’analisi dell’impatto privacy: il DPIA ( “Data Protection Impact Assessment” ).

 

Successivamente:

 

– apportare le misure aggiuntive di protezione dei dati ove necessario o opportuno;
– formare i propri dipendenti e collaboratori sulle novità introdotte;
– aggiornare tutte le informative e la politica della privacy;
– stilare appositi addenda ai contratti in essere individuando i necessari responsabili del trattamento dati (ad es. il commercialista, consulente del lavoro, tecnico informatico, collaboratori esterni).

 

ECHO Sistemi ha deciso, per la compliance al GDPR a Siracusa, di procedere effettuando l’analisi dei rischi, producendo il documento DPIA che analizzi la situazione dei rischi al fine di valutare se servono delle azioni correttive.

Tali attività sono minime nel caso di sistemi informatici di recente realizzazione.

 

Per effettuare la valutazione d’impatto sarà necessario prenotare l’intervento di un nostro consulente inviando il modulo allegato.

 

– Il costo dell’analisi di impatto privacy (DPIA) è variabile in base al numero di dipendenti / collaboratori. Abbiamo previsto, ove possibile, di eseguire i lavori in collegamento remoto. Nei casi un cui venisse richiesta la presenza presso la vostra sede, verranno addebitate le spese di trasferta.

 

– Il costo per l’eventuale adeguamento tecnico del sistema in uso, sarà preventivato e discusso con il cliente. In generale i sistemi recenti potrebbero essere già adeguati alla normativa.

 

SCHEDA TECNICA

 

Prenota Analisi

 

Questo sito NON fa uso di cookie di profilazione, ma solo di tipo tecnico di terze parti. Proseguendo la navigazione, si accetta implicitamente la Cookie Policy e la Privacy Policy .

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi