GDPR normativa europea sulla privacy dei dati personali. Cose importanti da ricordare per adeguarsi entro il 25 maggio 2019

GDPR privacy dei dati personali
01Apr, 2019

[:it]GDPR normativa europea sulla privacy dei dati personali. Cose importanti da ricordare per adeguarsi entro il 25 maggio 2019

Ormai il GDPR sappiamo cosa sia e a chi si rivolge e ne abbiamo sentito parlare in tutte le salse, in caso contrario ti consiglio di andare a rileggere questo articolo dove spieghiamo di cosa si tratta e a chi si rivolge clicca qui.

Il 25 maggio 2019, ad un anno dall’entrata in vigore della normativa, scade il periodo di “clemenza” sulle sanzioni amministrative in caso di non adeguamento alle specifiche misure per la protezione dei dati personali.

Per dati personali si intendono tutti i dati che possano identificare una persona e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Cose importanti da ricordare:

  1. La normativa interessa, obbligatoriamente, tutte le aziende che trattano questa tipologia di dati, indipendentemente dalla sua grandezza e dal numero di dipendenti. Diffidate di chi fa della grandezza aziendale l’unico fattore per valutare l’entità delle operazioni da fare per mettersi in regola con la normativa, tutto dipende dalla tipologia dei dati trattati.
  2. Si tratta di un adeguamento sia a livello di documentazione legale, sia tecnico informatico  e sia adeguamento degli archivi cartacei. Diffidate da chi offre solo uno di questi adeguamenti perchè sono tutti necessari al fine di regolamentarsi alla normativa. Secondo noi è indispensabile la collaborazione di un legale preparato in materia per avere delle misure adeguate alla propria realtà.
  3. Il GDPR richiede che il titolare del trattamento abbia piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità. La non conoscenza di come vengano gestiti i propri dati non è accettata dal Garante della privacy italiano ed europeo ma ne avete la piena responsabilità anche in caso di negligenza di terzi.
  4. Diventa importante come si affronta il Data Breach (incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato), quindi in questo caso l’azienda ha l’obbligo di fare denuncia dell’accaduto al garante privacy a tutti i clienti entro 72 ore dalla scoperta e di ripristinare il tutto nel più breve tempo possibile. Anche gli attacchi di cryptoloker sono considerati Data Breach e vanno comunicati. (a questo proposito leggi: Come proteggersi dai cryptolocker, ransomware ancora all’attacco)

Quali sono le sanzioni?

Le sanzioni diventano molto più severefino a € 20.000.000 per i privati e le imprese o fino al 4% del fatturato complessivo se superiore.

In Europa sono già iniziate le  prime sanzioni.

Come adeguarsi? I passi generali da seguire

  1. Avere a posto tutta la parte burocratica con la stesura dei documenti richiesti dalla normativa ( Descrizione del Ruolo del Responsabile della Protezione dei Dati, Elenco delle Attività di Trattamento dei Dati, Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Controllori, Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Processori)
  2. Nominare dei responsabili interni e normare i responsabili esterni, avere un DPO qualora necessario per la propria realtà
  3. Adeguare la conservazione cartacea dei documenti, per esempio mettendo sottochiave i documenti relativi alle paghe e alle visite mediche dei dipendenti possibilmente in armadi ignifughi, normando gli accessi alle stanze contenenti dati da proteggere.. ecc
  4. Adeguarsi a livello tecnologico: i nostri requisiti minimi:
  • sistemi operativi aggiornati e seguiti dalla casa madre (es. windows 7  e windows server 2008 assistenza prevista fino al 14 gennaio 2020)
  • programmi aggiornati e seguiti dalla casa madre (es. office 2010 assistenza prevista fino  il 13 ottobre 2020)
  • sistema di antivirus adeguato alla propria azienda (no antivirus gratuiti), consigliato anche un antivirus/ANTISPAM per le mail
  • sistema di copie ben elaborato e differenziato: copie locali sensate e copie in cloud
  • firewall adeguato alla propria realtà
  • dominio aziendale sul server con un sistema di accessi ai documenti aziendali tramite responsabilità e permessi ben definiti in linea con il trattamento dei dati ed i responsabili dichiarati per il gdpr

Oltre a questi consigli ricordiamo che è necessario adeguare ad ogni caso specifico le varie misure da prendere per normarsi al GDPR, ci sono infatti alcuni fattori di rischio che richiedono degli adeguementi in più per esempio il trattamento di dati sensibili, dati di soggetti vulnerabili o tipologie di trattamento considerate a rischio. (se rientri in una di queste categorie NON PUOI FARE A MENO DI UN LEGALE)

Quali sono i dati sensibili? ecco alcuni esempi

  • dati biometrici
  • dati religiosi
  • dati sulla sessualità
  • dati sindacali
  • dati etnia/razza
  • dati penali
  • dati finanziari
  • dati strettamente personali relativi alla vita privata del soggetto
  • dati di geolocalizzazione

Quali sono i soggetti vulnerabili? ecco alcuni esempi

  • minori
  • disabili
  • categorie protette
  • anziani
  • infermi di mente
  • pazienti
  • richiedenti asilo

Quali sono i trattamenti a rischio? ecco alcuni esempi

  • Profilazione / valutazione / assegnazione punteggio
  • Monitoraggio sistematico
  • Trattamento su larga scala
  • Trattamento dati soggetti vulnerabili
  • Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati
  • Controllo a distanza dei lavoratori mediante sistemi tecnologici.
  • videosorveglianza

Vuoi un’offerta personalizzata?Contattaci!

Noi collaboriamo con un team di legali specializzati sulla privacy per offrire una soluzione ad hoc per ogni tipologia di azienda, contattaci per avere più informazioni e segui il blog per tenerti aggiornato.

[:en]Ormai il GDPR sappiamo cosa sia e a chi si rivolge e ne abbiamo sentito parlare in tutte le salse, in caso contrario ti consiglio di andare a rileggere questo articolo dove spieghiamo di cosa si tratta e a chi si rivolge clicca qui.

Il 25 maggio 2019, ad un anno dall’entrata in vigore della normativa, scade il periodo di “clemenza” sulle sanzioni amministrative in caso di non adeguamento alle specifiche misure per la protezione dei dati personali.

Per dati personali si intendono tutti i dati che possano identificare una persona e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Cose importanti da ricordare:

  1. La normativa interessa, obbligatoriamente, tutte le aziende che trattano questa tipologia di dati, indipendentemente dalla sua grandezza e dal numero di dipendenti. Diffidate di chi fa della grandezza aziendale l’unico fattore per valutare l’entità delle operazioni da fare per mettersi in regola con la normativa, tutto dipende dalla tipologia dei dati trattati.
  2. Si tratta di un adeguamento sia a livello di documentazione legale, sia tecnico informatico  e sia adeguamento degli archivi cartacei. Diffidate da chi offre solo uno di questi adeguamenti perchè sono tutti necessari al fine di regolamentarsi alla normativa. Secondo noi è indispensabile la collaborazione di un legale preparato in materia per avere delle misure adeguate alla propria realtà.
  3. Il GDPR richiede che il titolare del trattamento abbia piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità. La non conoscenza di come vengano gestiti i propri dati non è accettata dal Garante della privacy italiano ed europeo ma ne avete la piena responsabilità anche in caso di negligenza di terzi.
  4. Diventa importante come si affronta il Data Breach (incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato), quindi in questo caso l’azienda ha l’obbligo di fare denuncia dell’accaduto al garante privacy a tutti i clienti entro 72 ore dalla scoperta e di ripristinare il tutto nel più breve tempo possibile. Anche gli attacchi di cryptoloker sono considerati Data Breach e vanno comunicati. (a questo proposito leggi: Come proteggersi dai cryptolocker, ransomware ancora all’attacco)

Quali sono le sanzioni?

Le sanzioni diventano molto più severefino a € 20.000.000 per i privati e le imprese o fino al 4% del fatturato complessivo se superiore.

In Europa sono già iniziate le  prime sanzioni.

Come adeguarsi? I passi generali da seguire

  1. Avere a posto tutta la parte burocratica con la stesura dei documenti richiesti dalla normativa ( Descrizione del Ruolo del Responsabile della Protezione dei Dati, Elenco delle Attività di Trattamento dei Dati, Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Controllori, Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Processori)
  2. Nominare dei responsabili interni e normare i responsabili esterni, avere un DPO qualora necessario per la propria realtà
  3. Adeguare la conservazione cartacea dei documenti, per esempio mettendo sottochiave i documenti relativi alle paghe e alle visite mediche dei dipendenti possibilmente in armadi ignifughi, normando gli accessi alle stanze contenenti dati da proteggere.. ecc
  4. Adeguarsi a livello tecnologico: i nostri requisiti minimi:
  • sistemi operativi aggiornati e seguiti dalla casa madre (es. windows 7  e windows server 2008 assistenza prevista fino al 14 gennaio 2020)
  • programmi aggiornati e seguiti dalla casa madre (es. office 2010 assistenza prevista fino  il 13 ottobre 2020)
  • sistema di antivirus adeguato alla propria azienda (no antivirus gratuiti), consigliato anche un antivirus/ANTISPAM per le mail
  • sistema di copie ben elaborato e differenziato: copie locali sensate e copie in cloud
  • firewall adeguato alla propria realtà
  • dominio aziendale sul server con un sistema di accessi ai documenti aziendali tramite responsabilità e permessi ben definiti in linea con il trattamento dei dati ed i responsabili dichiarati per il gdpr

Oltre a questi consigli ricordiamo che è necessario adeguare ad ogni caso specifico le varie misure da prendere per normarsi al GDPR, ci sono infatti alcuni fattori di rischio che richiedono degli adeguementi in più per esempio il trattamento di dati sensibili, dati di soggetti vulnerabili o tipologie di trattamento considerate a rischio. (se rientri in una di queste categorie NON PUOI FARE A MENO DI UN LEGALE)

Quali sono i dati sensibili? ecco alcuni esempi

  • dati biometrici
  • dati religiosi
  • dati sulla sessualità
  • dati sindacali
  • dati etnia/razza
  • dati penali
  • dati finanziari
  • dati strettamente personali relativi alla vita privata del soggetto
  • dati di geolocalizzazione

Quali sono i soggetti vulnerabili? ecco alcuni esempi

  • minori
  • disabili
  • categorie protette
  • anziani
  • infermi di mente
  • pazienti
  • richiedenti asilo

Quali sono i trattamenti a rischio? ecco alcuni esempi

  • Profilazione / valutazione / assegnazione punteggio
  • Monitoraggio sistematico
  • Trattamento su larga scala
  • Trattamento dati soggetti vulnerabili
  • Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati
  • Controllo a distanza dei lavoratori mediante sistemi tecnologici.
  • videosorveglianza

Vuoi un’offerta personalizzata?

Noi collaboriamo con un team di legali specializzati sulla privacy per offrire una soluzione ad hoc per ogni tipologia di azienda, contattaci per avere più informazioni e segui il blog per tenerti aggiornato.

Scopri di piùFacebook Messenger[:]

About The Author
Comunication and Marketing Manager

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

SCRIVICI SU MESSENGER