Formazione

Trattamento dei dati personali – tutto ciò che c’è da sapere sul nuovo GDPR

Trattamento dei dati personali

tutto ciò che c'è da sapere sul nuovo GDPR, Regolamento Europeo sul trattamento dei dati personali

 

 by Flavio Crinelli

  post 🇮🇹   time: 5min    

Da qualche mese sul web e tra le varie società ed enti che si occupano di garanzia sulla Privacy e sicurezza informatica, è oggetto di dibattito lo spinoso tema sulle novità che apporterà il GDPR, il nuovo Regolamento Europeo sul trattamento dei dati personali. Questo perché dal 25 maggio 2018, il GDPR e le relative sanzioni in caso di mancato adeguamento, saranno direttamente applicabili in tutti gli Stati membri della Comunità Europea.

GDPR (General Data Protection Regulation - Regolamento Ue 2016/679)

Il GDPR è già in vigore da maggio 2016 ma sarà effettivo ed applicato da maggio di quest'anno, con conseguente obbligo per tutte lo società che usano i dati personali (clienti, dipendenti, fornitori etc.) di attenersi a tutte le nuove regole imposte.

Questo regolamento nasce dall'esigenza di uniformare, chiarire e armonizzare i processi e le attività riguardanti la protezione dei dati personali in tutto il territorio della Comunità Europea, con particolare attenzione verso alcune urgenze create dagli ultimi sviluppi tecnologici. Le norme del regolamento saranno applicate anche per tutte le aziende che hanno sede al di fuori della CE, ma che di fatto operano nel mercato europeo.

 

Trattamento dei dati personali, GDPR - image 1

 

Vediamo i punti più importanti sulle novità che il GDPR apporterà al sistema di protezione dei dati dei cittadini:

 

Persone

Le persone avranno maggiori diritti rispetto alle precedenti disposizioni, in particolare potranno:

  • accedere ai propri dati personali;
  • correggere eventuali errori nei propri dati;
  • cancellare i propri dati personali;
  • contestare l’elaborazione dei propri dati personali;
  • esportare i dati personali.

 

Aziende

Aziende e società invece avranno maggiori responsabilità e doveri da rispettare. Saranno tenute a:

  • proteggere i dati personali raccolti con misure di sicurezza appropriate;
  • segnalare alle autorità eventuali violazioni riguardanti i dati personali;
  • ottenere il permesso per l’elaborazione dei dati degli Utenti;
  • conservare la documentazione dettagliata sull’elaborazione dei dati;
  • Inoltre le aziende saranno tenute a fornire avvisi chiari sulle modalità della raccolta dati;
  • evidenziare gli scopi dell’elaborazione e definire i tempi e i criteri di conservazione.

 

Altre disposizioni chiave del regolamento riguardano la formazione che le aziende saranno tenute ad offrire al personale che si occuperà della privacy aziendale. Le aziende potranno anche avvalersi di collaboratori esterni che svolgeranno tutte le attività di protezione, controllo, monitoraggio e analisi dei dati personali. La figura di cui stiamo parlando è il DPO (Data protection Officier) che sarà direttamente nominato dal titolare del trattamento dati. La figura del DPO in alcuni casi, come per le amministrazioni pubbliche, sarà obbligatorio per legge.

Le figure del trattamento dei dati personali

Le figure più importanti per le attività di protezione e gestione dei dati personali sono il Titolare del trattamento, il Responsabile del trattamento e il DPO. Altre figure che possono aiutare il Titolare e il Responsabile a svolgere le loro mansioni sono: il Contitolare e l'Incaricato.

 

Titolare

Il Titolare del Trattamento dei dati personali è tenuto a:

  • implementare le misure di sicurezza;
  • dimostrare la conformità delle attività di trattamento rispetto al GDPR;
  • adottare misure tecniche e organizzative per le attività di protezione e controllo.

 

Responsabile

Il Responsabile del trattamento è una figura nominata dal Titolare a cui vengono affidate tutte le attività inerenti alla protezione dei dati. Tale attribuzione deve essere regolamentata tramite un contratto o un atto giuridico.

Gli aspetti fondamentali da definire e disciplinare sono:

  1. l’oggetto del trattamento, la durata, la natura e la finalità;
  2. il tipo di dati personali e le categorie di interessati;
  3. gli obblighi e i diritti del titolare del trattamento e del responsabile del trattamento.

 

DPO

Il DPO è il soggetto a cui il Titolare, o il Responsabile, si affida per garantire la conformità dell’organizzazione delle attività di trattamento dei dati personali. Il DPO agisce in modo indipendente e riferisce direttamente ai vertici dell'azienda. Può essere anche un collaboratore esterno ed è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali.

Titolare
Responsabile
DPO

Registro del Trattamento dei dati personali

Il GDPR dispone che le società dovranno disporre del Registro dei Trattamenti, un documento contenente tutte le informazioni relative alle modalità di trattamento dei dati personali. Tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora venga richiesto.

Il registro che dovrà essere sempre aggiornato sarà uno strumento per far chiarezza sul trattamento e per fare tutte le valutazioni e analisi da parte delle figure interessate.

Il Registro dovrà contenere per ogni trattamento le seguenti informazioni:

  • i differenti trattamenti dei dati personali;
  • le categorie di Interessati e dei dati personali trattati;
  • le finalità del Trattamento;
  • i soggetti interni ed esterni coinvolti nel Trattamento dei dati, tra cui l'elenco degli incaricati;
  • il flusso di Dati, in caso di trasferimento di dati extra UE;
  • il luogo in cui sono conservati i dati;
  • il tempo di conservazione per ciascuna categoria;
  • le misure di sicurezza adottate per minimizzare i rischi.

Data Breach

Per Data Breach s'intende qualsiasi tipo di violazione dei dati personali di un'azienda. Questa violazione può essere sia di tipo accidentale che di tipo illecito. Nel nuovo Regolamento vi è quindi un ampliamento delle attività considerate "violazione del dato", attività precedentemente associate solo alla sottrazione.

Le attività che rientrano nel Data Breach sono:

  1. la distruzione dei dati personali
  2. la perdita dei dati personali;
  3. la modifica dei dati personali;
  4. la divulgazione non autorizzata dei dati personali;
  5. l'accesso non autorizzato ai dati personali.

 

In caso di accertata Data Breach è compito del titolare del trattamento informare tempestivamente le Autorità di controllo. Il titolare del trattamento è tenuto anche ad informare le persone se la violazione può comportare una grave ed elevata compromissione dei loro diritti e delle libertà.

Informazioni sul GDPR

Come società offriamo percorsi informativi sul nuovo GDPR, per aiutare quante più realtà a conformarsi con il nuovo regolamento ed evitare le possibili sanzioni. Scrivici a info@numidio.com per qualsiasi richiesta di informazioni in merito e intanto scarica il nostro Report gratuito.

 

Note sull'autore:

Flavio Crinelli è co-fondatore di Numidio ed esperto di Digital Marketing e Social Media Management. Si occupa da anni della gestione di campagne marketing sul web, della creazione di contenuti per i social media e di sviluppare percorsi formativi in questi settori.

 

Foto credits post "Trattamento dei dati personali": Header Photo by Matthew Henry on Unsplash

Un pensiero su “Trattamento dei dati personali – tutto ciò che c’è da sapere sul nuovo GDPR

I commenti sono chiusi.