Servizi per la conformità al GDPR – Sicurezza delle informazioni

il GDPR impone nuovi obblighi sulla sicurezza dei dati personali in tutta Europa

il GDPR impone nuovi obblighi sulla sicurezza dei dati personali in tutta Europa

Secondo il nuovo regolamento europeo per la protezione dei dati (GDPR - General Data Protection Regulation - Regolamento UE 2016/679), che entra definitivamente in vigore il 25 Maggio 2018, non proteggere correttamente i dati personali che si hanno in custodia può essere davvero molto rischioso.

Al giorno d'oggi le informazioni sui Clienti o Utenti sono di capitale importanza per tutte le Aziende, gli Enti e le Organizzazioni in genere, e dunque oggi tutti raccolgono, memorizzano, aggregano ed analizzano per vari scopi volumi sempre crescenti di dati personali.

Se la vostra Organizzazione sta fornendo servizi o è in relazione per qualsiasi motivo con qualsiasi cittadino dell'Unione europea, certamente dovrà essere conforme al nuovo regolamento.

Scoprite qui sotto cosa il GDPR comporta.

GDPR significa General Data Protection Regulation, ed è un regolamento UE (precisamente il n. 2016/679), già in vigore, che cambia parecchio gli obblighi sulla raccolta e gestione delle informazioni che possono essere ricondotte alle persone fisiche, le cosiddette PII (Personally Identifiable Informations).

Tale regolamento prevede che i trattamenti di dati personali siano organizzati secondo un vero e proprio sistema di gestione, sul modello delle certificazioni della Qualità, mettendo in atto misure adeguate ed efficaci.

Il Titolare del trattamento deve essere in grado di dimostrare la conformità alla norma delle attività di trattamento, compresa l’efficacia delle misure di sicurezza adottate.
Esempi di PII sono:

  • ovviamente, i dati anagrafici
  • profilazioni implicite o esplicite di qualsiasi tipo
  • dati commerciali ed economici
  • dati sanitari
  • post su social networks
  • immagini suoni e e video
  • ma anche numeri telefonici, indirizzi e-mail, indirizzi IP, ecc.
Tutte le aziende, enti ed organizzazioni che a qualsiasi titolo raccolgono e gestiscono PII di persone residenti nella UE sono soggette al GDPR.
Per le aziende sotto certe dimensioni potrebbero essere previsti obblighi semplificati, ma al proposito non sono ancora state emanate direttive precise.
In tutta la Unione Europea, ed anche fuori di essa se si raccolgono e gestiscono dati personali di cittadini europei.
IMPORTANTE: Il GDPR è già in vigore dal 24.05.2016 , ma non sono ancora previste sanzioni per le inadempienze.

Si veda al proposito la seguente intervista al dott. Buttarelli (l'attuale Garante Europeo per la Privacy), a partire dalla quartultima domanda.

Dopo il 24.05.2018 saranno invece applicabili le sanzioni.

Per quanto riguarda i cittadini europei, lo scopo della UE è quello di tutelarli su determinati aspetti della loro vita, quelli digitali, che stanno diventando ormai vitali e irrinunciabili.
Per le Aziende, Enti ed Organizzazioni, oltre che per rispettare la legge, un buon motivo per prendere molto sul serio il GDPR è che le sanzioni in caso di inadempienza - che qualunque cittadino europeo potrà denunciare - saranno molto alte (fino al 4% del fatturato annuo)
Le Aziende, Enti ed Organizzazioni dovranno con la massima sollecitudine, e comunque entro il 24.05.2018, provvedere ai seguenti adempimenti:

  • Aggiornamento Informativa privacy in ossequio al principio di trasparenza e dei processi di raccolta e gestione del consenso
  • Analisi Privacy Impact Assessment
  • Applicazione dei principi di Privacy by Design e Privacy by Default
  • Nomina del Data Protection Officer (DPO)
  • Tenuta dei Registri dei trattamenti del Titolare e dei Responsabili
  • Obbligo di comunicazione dei Data breach
  • Diritto a Oblio, Portabilità, Limitazione dei trattamenti, Accesso, Rettifica
  • Misure di Sicurezza dimostrabili
  • Previsione di audit periodici
  • Responsabilità “in solido” per i “responsabili privacy” e contrattualistica specifica

 

Treos può aiutarvi ad adempiere agli obblighi del GDPR rispettando la scadenza, e mettendovi al contempo in condizione di evitare rischi informatici che potrebbero essere comunque gravi ed economicamente significativi.

Ecco in sintesi cosa Treos può fare per il GDPR

Riconoscere e documentare dove sono memorizzati, elaborati, trasferiti dati personali nella vostra Organizzazione. Questo passo è fondamentale sia per proteggere i dati sia per dare seguito alle richieste di conferma, accesso, oblio, ecc.
Rivedere o riformulare tutte le informative e fare la valutazione di impatto per i dati personali ad alto rischio
Costruire e mantenere aggiornati i registri su quali tipi di dati personali sono stati raccolti, quando, a che scopo, con quale tipo di consenso, se ne è stata delegata la gestione, ecc.; idem per i trattamenti; da tali metadati, produrre quando necessario i vari documenti previsti dal GDPR, sempre aggiornati
Capire chi deve avere accesso a quali dati personali ed implementare i sistemi di controllo accessi di conseguenza; attribuire le responsabilità e tenerne traccia
Monitorare continuamente la vita dei dati personali, alla luce dei nuovi obblighi (di notifica, di protezione, di minima conservazione, ecc.)
Attuare tutti gli accorgimenti, tecnici o organizzativi, correttivi e preventivi, per proteggere i dati personali ed evitare i rischi o mitigare i danni
Adempiere alle varie notifiche (alle persone, al Garante, ecc.) che occorre emettere ed alle dimostrazioni di aver fatto tutto il possibile per proteggere i dati personali
Assumere per vostro conto il ruolo di Data Protection Officer previsto dal GDPR nei casi in cui sia previsto

Cliccate qui per contattarci ora!