Tel. (+39) 0144 323359
 

GDPR per le Aziende ed Enti Pubblici

GDPR: nuova normativa sui dati

Il GDPR è alle porte: Sei già pronto al nuovo regolamento?

Il 25 maggio 2018 segnerà l’inizio di una nuova era per ciò che concerne la tutela dei dati personali e le norme che ne regolamentano il trattamento da parte di Organizzazioni Pubbliche e Private. In questa data entrerà infatti in vigore il General Data Protection Regulation (meglio noto come GDPR), ovvero il nuovo Regolamento Generale sulla Protezione dei Dati (UE 2016/679).

Il GDPR introduce nuovi diritti, responsabilità, doveri e misure, ma soprattutto impone alle Aziende e agli Enti Pubblici un nuovo modello organizzativo che contempli il trattamento dei dati personali all’interno del processo produttivo. Tale modello è volto, da un lato, ad assicurare all’utente una maggiore protezione dei propri dati personali e un maggior controllo sulle informazioni che lo riguardano, dall’altro a fornire alle Organizzazioni Pubbliche e Private linee guida e strumenti certi e condivisi per trattare in maniera più sicura e trasparente tali informazioni, traendone il maggior beneficio possibile in termini di business senza ledere la privacy dell’utente.

Per aiutare le Organizzazioni Pubbliche e Private a conformarsi al GDPR nei tempi previsti dal nuovo Regolamento, Callidus Pro propone un servizio strutturato in fasi che parte dal censimento dei dati trattati, dall’analisi dei processi aziendali coinvolti e dalla valutazione delle esigenze del Cliente, per poi proseguire con un supporto concreto all’implementazione delle modifiche necessarie.

Che cos'è il GDPR?

Approvato dal Parlamento Europeo nell’aprile del 2016, in Italia il GDPR andrà ad assorbire parte del Codice della Privacy attualmente in vigore (D.Leg 196/2003), aggiornando contemporaneamente la Direttiva 95/46/Ce, non più idonea a garantire un trattamento trasparente delle informazioni nell’era di Internet e dei Big Data.

L’obiettivo della normativa è duplice: da un lato, armonizzare le leggi sulla privacy e sulla riservatezza delle informazioni di tutti i Paesi Europei, dall’altro garantire all’utente una maggior trasparenza e sicurezza nel trattamento dei dati sensibili processati da Aziende ed Enti Pubblici.

Si tratta di un primo, importante traguardo in materia di standardizzazione delle politiche europee sulla privacy, a cui tutti coloro che trattano dati personali sono obbligati ad attenersi, adeguando i propri processi aziendali, le proprie infrastrutture IT e le proprie attività di marketing prima dell’entrata in vigore della normativa.

Il General Data Protection Regulation (GDPR) introduce infatti un nuovo quadro di obblighi e misure, valide in ogni scenario di business e applicabili nel settore sia pubblico sia privato, che devono essere rispettate non solo dalle Organizzazioni con sede in Unione Europea, ma anche dalle Organizzazioni non comunitarie che offrono servizi e/o effettuano attività di monitoring in ambito UE.

A chi è rivolto?

La normativa interessa tutti quei soggetti e Organizzazioni del settore pubblico o privato che, nell’ambito delle loro attività, devono trattare (anche in maniera automatizzata) i dati personali di terze parti, siano essi dipendenti, clienti, studenti, utenti o fornitori.

Viene inoltre introdotto il principio di applicabilità del diritto dell’Unione Europea anche ai trattamenti di dati personali non processati all’interno del territorio comunitario. Ciò avviene quando i dati si presentano connessi all’offerta di beni o servizi a cittadini dei Paesi dell’Unione oppure tali da comportare il monitoraggio dei loro comportamenti.

L’applicabilità della normativa dipende quindi dalla natura del trattamento e non più dal luogo in cui ha sede il Responsabile del Trattamento o dalla dimensione dell’azienda.

Che cosa cambia in concreto?

Rispetto al D.lgs 196/2003, con il GDPR la privacy diventa un processo aziendale da gestire in ogni sua fase, un elemento intrinseco, il presupposto base di ogni attività di trattamento. Ciò significa che richiederà alle Aziende un nuovo modello organizzativo e nuove procedure. Il dato personale assume infatti valore in quanto tale, diventando motore di sviluppo e il centro propulsore della nuova economia nascente.

Cambiano pertanto i connotati dell’informativa e le modalità di raccoglimento del consenso al trattamento dei dati personali, che divengono più intellegibili e facilmente accessibili, e vengono introdotti nuovi strumenti, procedure e figure professionali al fine di aumentare la protezione dei dati trattati, favorire la trasparenza e prevenire o gestire i rischi derivati dagli attacchi cyber.

Si inaspriscono inoltre le sanzioni in caso di violazione e, per la prima volta, vengono regolamentati la gestione e il trasferimento dei dati personali di cittadini UE anche quando sono processati al di fuori dell’Unione Europea.

Riassumendo, la nuova normativa europea in materia di privacy e trattamento dei dati personali prevede un aumento non solo delle misure da adottare per le Organizzazioni e degli obblighi per i Responsabili del Trattamento, ma anche dei diritti degli utenti. Ecco in sintesi i principali:

Obblighi e doveri per Aziende ed Enti Pubblici

  • Effettuare un’auto-valutazione dei rischi implicati dal trattamento su larga scala dei dati personali qualora la tipologia di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tale valutazione deve avvenire fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto (Risk Assessment) e conduce alla stesura di un documento, chiamato DPIA (Data Protection Impact Assessment) comprensivo delle eventuali criticità rilevate e del programma di intervento.
  • Redigere un Registro dei Trattamenti qualora l’Organizzazione o Azienda abbia più di 250 dipendenti o i cui trattamenti, di natura non occasionale, possano presentare un rischio per i diritti e le libertà dell’interessato. Tale documento deve essere messo a disposizione, su richiesta dell’Autorità di controllo preposta (Garante), dal Titolare del Trattamento o dal Responsabile del Trattamento, qualora nominato al fine di dimostrare la conformità dell’Organizzazione alle prescrizioni della legge.
  • Designare un DPO (Data Protection Officer), ovvero un Responsabile della Protezione dei Dati, che deve essere una figura altamente qualificata, indipendente e autonoma. L’introduzione della sua figura è obbligatoria nei seguenti casi: quando sia un soggetto pubblico ad occuparsi del trattamento dei dati personali; quando sia previsto il monitoraggio regolare e sistematico degli interessati su larga scala da parte dell’Azienda e/o Organizzazione; quando i dati trattati siano sensibili e/o giudiziari.
  • Pianificare le misure di protezione e organizzazione dei dati fin dalla progettazione dei processi aziendali (Privacy by Design), prevenire raccolte di dati non indispensabili allo svolgimento dei propri obblighi professionali e limitare l’accesso alle informazioni ai soli soggetti coinvolti nell’elaborazione (Privacy by Default)
  • Specificare nelle informative la volontà di utilizzare i dati raccolti ai fini della profilazione. Per condurla è infatti necessario il consenso esplicito dell’interessato.
  • Monitorare le violazioni dei dati personali e dotarsi di coperture assicurative per proteggersi dal cyber risk. L’obbligo ricade sul Responsabile del Trattamento, che può decidere di dotarsi di software di monitoraggio (o sentinella).
  • Segnalare all’Autorità competente, entro le 72 ore, eventuali violazioni dei dati personali trattati e se gravi, ovvero tali da risultare lesivi per i diritti e le libertà dei diretti interessati, anche a questi ultimi (Data Breach Notification). L’obbligo ricade sul Responsabile del Trattamento.

I diritti dell’utente

  • Diritto di accesso ai propri dati (per conoscere finalità del trattamento, destinatari, periodo conservazione, ecc)
  • Diritto di rettifica e di integrazione dei dati personali incompleti
  • Diritto all’oblio (Right to be Forgotten) o diritto alla cancellazione dei propri dati personali (già in vigore dal 2014)
  • Diritto alla portabilità del dato (Data Portability)
  • Diritto di revocare il consenso a determinati trattamenti
  • Diritto di far reclamo presso un’autorità di controllo

Le sanzioni

Con l’introduzione del GDPR si inaspriscono le sanzioni per le violazioni delle norme che regolano il trattamento dei dati personali. Queste possono raggiungere un massimo di 20.000.000 € per i privati e fino al 4% del fatturato complessivo (consolidato) per le imprese.

GDPR: Affidati a Callidus Pro IT Solutions

Forte di una vasta esperienza nel settore IT, Callidus Pro ha sviluppato un’apposita metodologia di intervento per aiutare i propri Clienti nel cammino verso il GDPR.
Si tratta di un processo di conformità al GDPR articolato in due moduli (Conformità della Tecnologica e di Governance dei Dati e Messa a norma delle attività di Marketing), utile ad accompagnare le Aziende e gli Enti interessati nella gestione dei cambiamenti metodologici e infrastrutturali necessari per adeguarsi al nuovo regolamento europeo sulla privacy.

Un servizio di conformità con il GDPR garantito da competenze certificate in ambito applicativo e infrastrutturale, che si tradurrà in un approccio personalizzato, aperto alla collaborazione con partner tecnologici, che prevede l’integrazione delle best practice nell’ambito di Cyber Security e Data Management. Il tutto per garantire ai propri Clienti soluzioni modulari, efficaci e flessibili.

Un auditing dei dati e un piano operativo personalizzato che parte dalla definizione del perimetro di analisi e dalla valutazione del modello organizzativo dell’Azienda o dell’Ente richiedente, per poi modulare il tipo di servizio sulla base delle loro reali necessità.

Lo scopo è restituire al Cliente un’organizzazione più efficiente, fluida e a norma di legge, nonché una maggiore sicurezza per ciò che concerne sia il patrimonio informativo dell’Organizzazione, sia i dati sensibili delle utenze coinvolte nel trattamento.

Conformità della tecnologia e di governance dei dati

Callidus Pro offre un sostegno tecnologico prezioso a tutte quelle Organizzazioni che devono ancora adeguare i propri sistemi e le proprie procedure informatiche ai requisiti richiesti dal GDPR. Ecco i principali ambiti di intervento:

  • Assessment integrato organizzativo e tecnologico
  • Identificazione e Classificazione dei dati e dei flussi informativi (Data Inventory e Data Discovery and Classification)
  • Governance dei dati
  • Analisi DPIA (Data Protection Impact Assessment)
  • Analisi del rischio (Risk Assessment)
  • Gap analysis e Piano di Remediation o Piano di Azione (Risk Management)
  • Change Management
  • Cyber Security
  • Strumenti a supporto del DPO
Messa a norma delle attività di marketing

Uno degli obiettivi del GDPR è offrire un quadro normativo unico anche per ciò che concerne le attività di Direct Marketing. È infatti ormai ribadito da più parti che una buona gestione della privacy e dei dati personali possa diventare un’ottima base di partenza per incrementare il fatturato.

Occorre tuttavia che le Aziende o Enti Pubblici in possesso di un database clienti dovranno allineare le proprie best practice in materia ai principi del GDPR.

Callidus Pro si propone come alleato anche nel processo di messa a noma delle attività e degli strumenti legati al Marketing, sia dal punto di vista del business sia della governance. Per farlo mette a disposizione dei propri Clienti strumenti e competenze che permetteranno ai loro reparti Marketing di utilizzare i dati personali acquisiti nel pieno rispetto del GDPR. In questo quadro Callidus Pro si propone come consulente per:

  • Analisi e mappatura dei cookie
  • Anonimizzazione e pseudonimizzazione delle piattaforme di Analytics
  • Adeguamento delle best practice per l’invio delle newsletter e delle DEM
  • Inserimento di database di utenti profilati (Lead generation)
  • Creazione di post sponsorizzati da veicolare sui social media (Social Media Advertising)
  • Campagne pubblicitarie sui motori di ricerca (es. Google Adwords)
  • Censimento e revisione dei DPIA delle piattaforme di marketing di terze parti

    Nome e Cognome (*)
    Indirizzo Email (*)
    Azienda
    Telefono
    Descrizione del progetto / Risultati previsti
    Acconsento al trattamento dei miei dati personali. Informativa Privacy

    Richiedi la soluzione per la conformità GDPR

    Parliamo dei tuoi obiettivi per la sicurezza e la protezione dei dati!

    Insieme possiamo portare la tua azienda ad una conformità totale del Regolamento GDPR per la privacy.

    Compila il form, ti risponderemo al più presto

    Il blog di #CallidusPro
    ISCRIVITI ADESSO!

    Unisciti agli oltre 2000 lettori del blog e ricevi contenuto esclusivo

    Queste informazioni non saranno mai condivise con altre aziende

    GRAZIE PER ISCRIVERTI!