Adeguamento al Regolamento UE 2016/679 obbligo per tutte le aziende dal 25.05.2018

Dal 25 maggio trova piena applicazione la nuova normativa in materia di privacy che, come previsto dall’art. 99 del Regolamento UE 2016/679, è obbligatoria in tutti i suoi elementi e abroga espressamente la direttiva 95/46/CE.

A chi è rivolto: Per tutte le imprese che trattano dati personali di soggetti risiedenti nell’Unione Europea (indipendentemente dalla loro localizzazione geografica);

Quali dati: quelli che consentono l’identificazione di una persona (nome, codice fiscale, immagine,

voce, impronta digitale, traffico telefonico) compresi identificatori online, quali numeri IP, cookie e

dati di geolocalizzazione.

Titolare del Trattamento: chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa. Obbligo di notifica di violazione dei dati (quando questa possa mettere a rischio i diritti e le libertà degli individui) entro 72 ore.

Sanzioni amministrative: fino a 20 milioni di euro o dal 2% al 4% del fatturato globale annuo.

Gli utenti hanno il diritto di:

-essere chiaramente informati sui motivi che richiedono la comunicazione dei dati e sulle modalità del loro utilizzo

-accedere gratuitamente a tutti i dati raccolti e trasferire liberamente i loro dati personali ad altri fornitori di servizi (portabilità dei dati)

-richiedere la modifica, la cancellazione o la rimozione dei dati, con la stessa facilità con cui hanno espresso il consenso al trattamento

-essere informati nel caso di una violazione dei propri dati personali

-avere maggiori garanzie sull’applicazione delle norme e soprattutto sul trasferimento dei dati al di fuori dell’UE

Le aziende devono dimostrare:

-di avere ricevuto un consenso esplicito per tutti i dati personali raccolti

-di utilizzare i dati personali dei clienti in modo trasparente e appropriato

-di preservare i dati personali dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dall’accesso e dalla divulgazione non autorizzati

-di essersi adeguate alla normativa tramite misure di data governance che includano documentazione dettagliata, registrazione e valutazione continua del rischio

Cosa devono fare le aziende:

– Redigere il Registro dei Trattamenti Privacy

– Tutti coloro che hanno accesso ai dati devono svolgere un corso di formazione

– Nominare un DPO – Responsabile della Protezione dei dati (consigliato ma non obbligatorio per tutti, ma visto le diverse tipologie dei dati che possono essere messi a conoscenza delle aziende, se ne consiglia sempre la nomina)

– Adeguare i propri sistemi informatici alla normativa (strong password, antivirus, firewall, ecc.)

Le misure di sicurezza

La sicurezza, secondo il GDPR, deve essere parte integrante di tutti i sistemi fin dalla loro progettazione (Privacy By Design), la sicurezza di rete è infatti il primo livello di difesa dalla violazione dei dati. Le misure di sicurezza devono essere adeguate al rischio e tener conto dello “stato dell’arte” della tecnologia (sempre aggiornate).

Una security “by design” si costruisce a partire dalla progettazione dell’intera rete con l’utilizzo di apparati (switch, access point, firewall) che consentano una gestione ed un controllo totale del traffico dei dati, e di software che consentano la protezione dei dati e mantengano aggiornati i dispositivi di memorizzazione degli stessi connessi alla rete (pc, server, nas, dispositivi e strumenti di backup).

Modalità operative

 A seguito di quanto sopra esposto si consiglia di verificare la rete informatica all’interno della propria azienda, tramite tecnici specializzati, al fine di garantire che la custodia dei dati relativi al proprio personale o ai propri committenti, sia tutelato da un potenziale cyber attacco.

Successivamente verrà inviata la modulistica necessaria perché il Nostro Studio abbia mandato per la gestione delle informazioni dei Vostri dipendenti e quella relativa l’informativa dei Vostri dipendenti per i quali i gestori esterni dei dati da loro forniti sarà sempre il Nostro Studio.