Secondo il nuovo regolamento europeo per la protezione dei dati (GDPR - General Data Protection Regulation - Regolamento UE 2016/679), che entra definitivamente in vigore il 25 Maggio 2018, non proteggere correttamente i dati personali che si hanno in custodia può essere davvero molto rischioso.
Al giorno d'oggi le informazioni sui Clienti o Utenti sono di capitale importanza per tutte le Aziende, gli Enti e le Organizzazioni in genere, e dunque oggi tutti raccolgono, memorizzano, aggregano ed analizzano per vari scopi volumi sempre crescenti di dati personali.
Se la vostra Organizzazione sta fornendo servizi o è in relazione per qualsiasi motivo con qualsiasi cittadino dell'Unione europea, certamente dovrà essere conforme al nuovo regolamento.
Scoprite qui sotto cosa il GDPR comporta.
Tale regolamento prevede che i trattamenti di dati personali siano organizzati secondo un vero e proprio sistema di gestione, sul modello delle certificazioni della Qualità, mettendo in atto misure adeguate ed efficaci.
Il Titolare del trattamento deve essere in grado di dimostrare la conformità alla norma delle attività di trattamento, compresa l’efficacia delle misure di sicurezza adottate.
Esempi di PII sono:
- ovviamente, i dati anagrafici
- profilazioni implicite o esplicite di qualsiasi tipo
- dati commerciali ed economici
- dati sanitari
- post su social networks
- immagini suoni e e video
- ma anche numeri telefonici, indirizzi e-mail, indirizzi IP, ecc.
Per le aziende sotto certe dimensioni potrebbero essere previsti obblighi semplificati, ma al proposito non sono ancora state emanate direttive precise.
Si veda al proposito la seguente intervista al dott. Buttarelli (l'attuale Garante Europeo per la Privacy), a partire dalla quartultima domanda.
Dopo il 24.05.2018 saranno invece applicabili le sanzioni.
Per le Aziende, Enti ed Organizzazioni, oltre che per rispettare la legge, un buon motivo per prendere molto sul serio il GDPR è che le sanzioni in caso di inadempienza - che qualunque cittadino europeo potrà denunciare - saranno molto alte (fino al 4% del fatturato annuo)
- Aggiornamento Informativa privacy in ossequio al principio di trasparenza e dei processi di raccolta e gestione del consenso
- Analisi Privacy Impact Assessment
- Applicazione dei principi di Privacy by Design e Privacy by Default
- Nomina del Data Protection Officer (DPO)
- Tenuta dei Registri dei trattamenti del Titolare e dei Responsabili
- Obbligo di comunicazione dei Data breach
- Diritto a Oblio, Portabilità, Limitazione dei trattamenti, Accesso, Rettifica
- Misure di Sicurezza dimostrabili
- Previsione di audit periodici
- Responsabilità “in solido” per i “responsabili privacy” e contrattualistica specifica
SìServices può aiutarvi ad adempiere agli obblighi del GDPR rispettando la scadenza, e mettendovi al contempo in condizione di evitare rischi informatici che potrebbero essere comunque gravi ed economicamente significativi.