General Data Protection Regulation ⋆ Naps Lab

Il nuovo Regolamento UE in materia di protezione dei dati n. 679/2016 (GDPR-General Data Protection Regulation) definisce una nuova modalità del trattamento dei dati personali, che di fatto rivoluziona il vecchio modo di concepire la gestione dei dati a livello europeo. La nuova normativa riguarda praticamente tutte le imprese con modalità e strumenti differenti a seconda del settore economico di riferimento, della dimensione e della tipologia di dati personali utilizzati all'interno dell’impresa.

Il regolamento è stato pubblicato il 24 maggio 2016 dalla Comunità Europea e le norme, con le relative sanzioni, saranno applicabili a partire dal 25 maggio 2018. Il tempo a disposizione è davvero poco, per capire la strategia migliore da applicare e metterla in atto, ma è fondamentale partire subito.

Con l’entrata in vigore del GDPR, il quadro sanzionatorio privacy sarà ben più severo, non soltanto per ciò che riguarda l’entità degli importi, ma anche per quanto concerne le ipotesi per cui possono essere comminate le sanzioni. Entro la data del 25 maggio, infatti TUTTE le aziende che trattano dati personali di cittadini Europei saranno ritenute responsabili dirette sull'adozione di specifiche misure di sicurezza, protezione ed appropriatezza di trattamento degli stessi dati.

LE SANZIONI PREVEDONO MULTE FINO A 20.000 EURO O FINO AL 4% DEL FATTURATO !

Va poi considerato che a tali sanzioni si potrebbero aggiungere eventuali azioni di responsabilità nei confronti degli amministratori che non abbiano adottato le misure necessarie previste, o non si siano conformati alle norme. Oltre eventuali azioni per il risarcimento del danno occorso agli interessati.

Il GDPR si applica a tutti quei dati cosiddetti “personali” ovvero “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”

Dunque ad esempio nel momento in cui utilizzi dati personali come nome, ubicazione, numero di identificazione o elementi caratteristici della sua identità fisica, digitale, fisiologica, genetica, psichica, economica, culturale o sociale di dipendenti, clienti, fornitori, partners o altri soggetti, sei tenuto a gestirli in maniera opportuna.

Il GDPR non si applica solo alle aziende che usano in maniera intensiva i dati come elemento di business, ma più in generale disciplina il “trattamento” dei dati ovvero “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;”

La definizione di trattamento è molto ampia, persino la semplice conservazione o consultazione del dato viene considerato trattamento.

Nel momento in cui UTILIZZI, GESTISCI, CONSERVI DATI PERSONALI DI DIPENDENTI, CLIENTI, FORNITORI O PARTNER sei tenuto a gestirli in maniera opportuna.

Il GDPR prevede l'obbligo di notifica, in caso di Data Breach, di limitazione dei servizi di profilazione e di ottenimento del consenso al trattamento, inoltre garantire il diritto all’obblio, cioè il recesso del consenso, il diritto di spostamento dei dati e la trasparenza all’accesso dei dati.

L’offerta NAPS Lab prevede un approccio per fasi. L’obiettivo finale è quello di rendere le imprese dei nostri clienti aderenti ai requisiti del GDPR con riferimento al settore specifico del business, ai processi aziendali interni ed alle caratteristiche funzionali e strutturali dell’impresa stessa.

Fase 1: Valutazione preliminare dell’impresa

Colloquio conoscitivo iniziale finalizzato all’individuazione del contesto nel quale opera l’organizzazione, l’area geografica, la tipologia dei dati trattati ed il metodo di conservazione dei dati.

Fase 2: Identificazione e valutazione dei dati personali trattati all’interno dell’impresa

Analisi dei processi aziendali finalizzata all’identificazione dei dati utilizzati nell’impresa, attraverso valutazione del rischio, valutazione degli impatti, gap analysis, piano d’azione sia al livello organizzativo che tecnologico.

Fase 3: Adeguamento dei processi e strumenti per garantire il rispetto della norma

Creazione ed implementazione degli strumenti necessari previsti dal GDPR, elaborazione dei processi di comunicazione verso le autorità di controllo, codice di condotta e certificazione, gestione dell’incidente, gestione della violazione dei dati personali (data breach), organizzazione dei ruoli e delle responsabilità interne.

Fase 4: Formazione

Formazione del personale interessato al fine di incrementare la consapevolezza riguardo il trattamento dei dati personali e sensibili e, soprattutto, dei rischi derivanti dal loro errato trattamento.

Fase 5: Controllo, manutenzione e monitoraggio

Conduzione di audit aziendali annuali al fine di verificare l’efficacia dell’applicazione delle misure di sicurezza definite ed adottate e conseguente gestione delle anomalie riscontrate.

INTRODUZIONE AL GDPR

ATTENZIONE ALLE SANZIONI!

NON USI DATI? NE SEI COSÌ SICURO?

LA TUA AZIENDA RIENTRA NEL GDPR?

COSA DEVO FARE PER ADEGUARMI?

L'OFFERTA NAPS LAB