EU GDPR 2018
EU GDPR 2018
Servizi per il GDPR
Di Gerd Altmann da Pixabay

Il nuovo Regolamento Generale sulla Protezione dei Dati (n. 2016/679, detto anche GDPR o RGPD) è entrato in vigore il 24 maggio 2016 ed è l’unica fonte normativa direttamente applicabile nei Paesi membri dell’Unione Europea a partire dal 25 maggio 2018

In Italia, il GDPR ha mandato definitivamente “in pensione” il vecchio codice sulla Privacy (D.Lgs 196/2003), garantendo una disciplina uniforme in tutta l’Unione Europea, in materia di trattamento dei dati personali. Tra le novità introdotte, nuovi diritti per cittadini, clienti, consumatori; il GDPR prevede nuove modalità per l’espressione del consenso, nuovi obblighi in materia di sicurezza informatica e notevoli sanzioni per le aziende che non si adeguano.

L’imminente applicabilità del Regolamento non deve però essere considerato solo un obbligo: può rappresentare per le aziende un’importante occasione per affrontare in modo completo e strutturato la gestione della Privacy e della sicurezza (informatica e non) dei dati raccolti. “Data Protection by Design” è infatti il concetto che richiede in azienda l’adozione, sin dalla fase progettuale, di misure idonee per la protezione e la sicurezza dei dati altrui.


Scoprite i nostri servizi per il GDPR!
Scoprite le FAQ sul GDPR!

I nostri servizi per il GDPR

Grazie alle competenze tecniche sviluppate, all’adeguata conoscenza della normativa e all’esperienza maturata nel campo della Cybersecurity, possiamo affiancare la vostra azienda nel percorso verso l’assolvimento dei nuovi obblighi, in tempi brevi e a costi ridotti. Abbiamo ideato e offriamo i seguenti servizi:

Corso di formazione “GDPR Awareness”

Il corso di formazione è riservato al personale dipendente e a chi si occupa del trattamento dei dati. Il corso, di 4 ore, viene svolto presso la sede del Cliente e illustra le principali novità, i nuovi modi di ottenimento del consenso e il rispetto per le misure minime di sicurezza. È previsto un test finale di verifica delle conoscenze acquisite e il rilascio di un attestato nominativo. Il corso ha un costo fisso di 190,00€ + IVA.

Il software “GDPR FACILE” di Next 2.0

È il software da noi ideato per la gestione del registro dei trattamenti previsto dall’articolo 30 del GDPR. Di facile utilizzo, dotato di un doppio livello di sicurezza e accessibile via web, consente di descrivere tutti i trattamenti svolti, le figure coinvolte, le risorse gestite, con specifiche funzioni per le scadenze e la stampa. Il costo, a partire da 149,00€ l’anno + IVA (119,00€ dal secondo anno), si basa su livelli crescenti di complessità dell’organizzazione aziendale e dei dati trattati.

Assistenza tecnica alla compilazione

Il GDPR è ancora troppo complesso per la vostra realtà aziendale? Oltre ad offrire la formazione e il software giusto, forniamo anche un servizio di assistenza tecnica alla compilazione e all’inserimento dei dati, per facilitarVi al massimo l’assolvimento dei nuovi obblighi. Il servizio è fornito a pacchetti da 4 ore e comprende una visita in azienda e il monitoraggio delle risorse informatiche utilizzate e del loro livello di sicurezza.

Consulenza nel ruolo di Data Protection Officer (DPO)

Alcune tipologie di organizzazioni (es. Enti Pubblici) o le aziende che trattano dati “sensibili” devono obbligatoriamente nominare un Responsabile della Protezione dei Dati (RPD o DPO, Data Protection Officer), figura professionale dotata di capacità informatiche e organizzative e specifiche competenze in materia di GDPR. Il DPO affianca il Titolare del trattamento in tutte le decisioni relative al trattamento e alla sicurezza dei dati, forma il personale e in generale facilita l’assolvimento dei nuovi obblighi.
Grazie all’elevato livello di competenze acquisite (Master in Cybersecurity e certificazioni a livello europeo) e all’esperienza ventennale in tema di sicurezza dei dati e nella prevenzione dei crimini informatici, siamo il partner ideale per ricoprire il ruolo di Data Protection Officer (DPO). Possiamo occuparci di:

  • Rilevare e correggere le misure minime di sicurezza, e progettare un sistema informatico su criteri “Privacy by Design”.
  • Sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità.
  • Collaborare con il titolare/responsabile nel condurre una valutazione di impatto sulla protezione dei dati.
  • Informare, sensibilizzare, formare, dirigenza e personale ai nuovi obblighi del GDPR.

Domande e Risposte

Ecco alcune domande e risposte che possono aiutarVi a stabilire se, quando e come assolvere ai nuovi obblighi.

Il nuovo regolamento, entrato in vigore nel 2016 ma obbligatorio da maggio 2018, costituisce una profonda revisione delle attuali normativa in materia di sicurezza dei dati e Privacy. Il nuovo codice promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Sì, lo ha ribadito l’Agenzia per l’Italia Digitale (AGID) nelle circolari 1/2017 e 2/2017, quest’ultima pubblicata in Gazzetta Ufficiale a Maggio. Le misure minime di sicurezza ICT devono essere adottate da tutti gli Enti Pubblici entro il 31/12/2017 e descritti in un documento, da firmare digitalmente e dotato di marcatura temporale, a cura del responsabile ICT dell’Ente.

Il Regolamento si applica a qualsiasi trattamento di dati personali, elettronico o cartaceo, contenuti in un archivio, appartenenti ad interessati che si trovano nell’Unione Europea. Il dato personale è inteso come “qualsiasi informazione riguardanti una persona fisica identificata o identificabile”.
È chiaro come lo spettro di applicazione sia ampio: qualunque azienda tratta dati personali di persone fisiche, ad esempio clienti o dipendenti; vi è poi tutta la categoria di trattamenti legati al sito web o alla posta elettronica, alle comunicazioni commerciali, alle telefonate per promuovere un prodotto; infine, impianti di videosorveglianza e dati personali ricevuti da altre aziende, che vengono processati internamente. Non è azzardato dire quindi che tutte le aziende devono conoscere il nuovo regolamento e modificare la propria organizzazione avendo bene in mente i nuovi diritti degli interessati e la sicurezza dei loro dati.

Sì, se la mia azienda ha più di 250 dipendenti, ma anche:
  • sì, se i trattamenti effettuati possono presentare rischi per i diritti e libertà dell’interessato;
  • sì, se il trattamento dei dati non è occasionale;
  • sì, se il trattamento include categorie particolari di dati (dati sensibili, art. 9) che rivelino origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale o dati che genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

È il nuovo punto di vista su cui si basa il nuovo Regolamento Europeo in materia di Dati personali. Tutela della Privacy e protezione dei dati devono essere presenti fin dalla fase di ideazione e progettazione di un trattamento o di un sistema informatico, e si richiede di adottare comportamenti che consentano la prevenzione di possibili problematiche e non soltanto il rimedio a violazioni già avvenute.

Il DPO, o Data Protection Officer, è una figura espressamente prevista dalla nuovo Regolamento Europeo in materia di protezione dei dati personali, entrato in vigore nel maggio 2016 e obbligatorio da Maggio 2018. In estrema sintesi, si tratta di una figura professionale esterna incaricata di assicurare una corretta gestione dei dati personali in imprese ed Enti Pubblici.

È obbligatoria la nomina di un Data Protection Officer (DPO) quando:
  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • oppure, in caso di azienda privata, quando le attività principali consistano nel trattamento su larga scala di dati sensibili (ai sensi dell’art.9 del GPDR), o di dati relativi a condanne penali o a reati di cui all’art.10 del GDPR.

Il responsabile della Protezione dei Dati (o DPO, Data Protection Officer) è una figura prevista dal GPDR per coadiuvare il Titolare nell’affrontare le novità del Trattamento dei dati. Il DPO conosce la materia ed è dotato di qualità organizzative e professionali tali da facilitare i nuovi processi, in base al principio della “Privacy by Design”. La nomina di un DPO è obbligatoria nei seguenti casi:
  • autorità pubblica o organismo pubblico;
  • quando l’attività principale è il monitoraggio regolare e sistematico degli interessati su larga scala;
  • oppure quando vengono trattati, sempre su larga scala, dati sensibili o penali.
La nomina può essere effettuata anche a livello di gruppo o in forma associata. In generale la nomina di un DPO è comunque consigliata quando il titolare del trattamento non possieda le adeguate conoscenze normative e tecniche per affrontare i cambiamenti introdotti dal GDPR.

Il principio base del trattamento è che i dati personali riguardanti altri individui, se utilizzati a scopi commerciali o se diffusi verso terzi, devono essere trattati per il tempo strettamente necessario all’erogazione del servizio. L’elaborazione deve avvenire riducendo al minimo l’utilizzo di dati personali e le informazioni devono essere conservate per un tempo non superiore a quello necessario rispetto agli scopi prefissati. Il consumatore può richiedere (ad es. call center) dove sono stati reperiti i propri dati e ha numerosi nuovi diritti, come la possibilità di conoscere tempi e modi del trattamento e conoscere gli standard di sicurezza utilizzati da chi tratta i suoi dati.

Le sanzioni vengono erogate dall’Autorità di controllo in base alla gravità, al carattere doloso, alle categorie di dati trattati non correttamente e ad altri criteri stabiliti dall’articolo 83 del GDPR: “la violazione delle disposizioni è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato totale annuo, se superiore (ai 10 milioni)”. Anche se questi importi non saranno applicati alle piccole-medie imprese, certo è che la nuova normativa prende molto sul serio le violazioni, specialmente quelle commesse con grave colpa, ovvero quando i dati vengono trattati illecitamente, senza consenso, ceduti a terzi per scopi commerciali o conservati senza misure minime di sicurezza. Più in generale, il legislatore vuol colpire i soggetti che ignorano volutamente i nuovi diritti dei cittadini dell’UE e le aziende che continuano a trattare grandi quantità di dati senza idonee precauzioni e senza informare correttamente i legittimi interessati.

La nuova normativa garantisce e rafforza il diritto all’oblio, ovvero la possibilità di vedere cancellati i propri dati, qualora il motivo che ha reso legittima la pubblicazione non sia più di pubblica utilità. Il consumatore può richiedere la cancellazione dei propri dati personali, comunicando la revoca del trattamento concesso per ottenere un determinato servizio. Viene di fatto sancito un diritto finora rimasto sulla carta nelle varie normative nazionali.

L’articolo 9 del Regolamento, al comma 1, regola il trattamento di quelle particolari tipologie di dati personali inquadrati precedentemente come dati sensibili. Si tratta dei dati personali che possono rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica (es. impronte digitali, impronte oculari), dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Il GDPR stabilisce che il trattamento di questi dati è generalmente vietato, tranne casi specifici, indicati in maniera precisa dall’art.9.

Richiedete una consulenza

DarkBox® CyberSecurity è un partner unico per le crescenti esigenze di sicurezza in campo IT.

Contattateci!