gdpr-sicurezza

GDPR – Sicurezza dei Dati

Cos’è il GDPR? La nuova legge europea sulla privacy e la sicurezza dei dati include centinaia di pagine di nuovi requisiti per le organizzazioni di tutto il mondo. Questa panoramica del GDPR ti aiuterà a comprendere la legge e a determinare quali parti di essa si applicano a te.

Il Regolamento generale sulla protezione dei dati (GDPR) è la legge sulla privacy e sulla sicurezza più severa al mondo. Sebbene sia stato redatto e approvato dall’Unione Europea (UE), impone obblighi alle organizzazioni ovunque, purché prendano di mira o raccolgano dati relativi a persone nell’UE. Il regolamento è entrato in vigore il 25 maggio 2018. Il GDPR imporrà dure multe a coloro che violano i suoi standard di privacy e sicurezza, con sanzioni che raggiungono le decine di milioni di euro.

Con il GDPR, l’Europa sta segnalando la sua ferma posizione sulla privacy e la sicurezza dei dati in un momento in cui sempre più persone affidano i propri dati personali a servizi cloud e le violazioni sono all’ordine del giorno. Il regolamento stesso è ampio, di vasta portata e abbastanza leggero sulle specifiche, rendendo la conformità al GDPR una prospettiva scoraggiante, in particolare per le piccole e medie imprese (PMI).

Abbiamo creato questo sito Web come risorsa per i proprietari e i gestori di PMI per affrontare le sfide specifiche che potrebbero dover affrontare. Sebbene non sostituisca la consulenza legale, può aiutarti a capire dove concentrare i tuoi sforzi per la conformità al GDPR. Offriamo anche suggerimenti sugli strumenti per la privacy e su come mitigare i rischi. Poiché il GDPR continua a essere interpretato, ti terremo aggiornato sulle migliori pratiche in evoluzione.

Se hai trovato questa pagina – “cos’è il GDPR?” – è probabile che tu stia cercando un corso accelerato. Forse non hai ancora trovato nemmeno il documento stesso (suggerimento: ecco il regolamento completo). Forse non hai tempo per leggere tutto. Questa pagina è per te. In questo articolo, cerchiamo di demistificare il GDPR e, speriamo, di renderlo meno opprimente per le PMI preoccupate per la conformità al GDPR.

Storia del GDPR

Il diritto alla privacy fa parte della Convenzione europea dei diritti dell’uomo del 1950, che afferma: “Ognuno ha diritto al rispetto della sua vita privata e familiare, della sua casa e della sua corrispondenza”. Su questa base, l’Unione Europea ha cercato di garantire la tutela di questo diritto attraverso la legislazione.

Con il progredire della tecnologia e l’invenzione di Internet, l’UE ha riconosciuto la necessità di protezioni moderne. Così nel 1995 ha approvato la Direttiva Europea sulla Protezione dei Dati, che stabilisce gli standard minimi di riservatezza e sicurezza dei dati, su cui ogni Stato membro ha basato la propria legge di attuazione. Ma già Internet si stava trasformando nei dati che Hoover è oggi. Nel 1994 apparve online il primo banner pubblicitario. Nel 2000, la maggior parte degli istituti finanziari offriva servizi di online banking. Nel 2006, Facebook ha aperto al pubblico. Nel 2011, un utente di Google ha citato in giudizio l’azienda per aver scansionato le sue e-mail. Due mesi dopo, l’autorità europea per la protezione dei dati ha dichiarato che l’UE aveva bisogno di “un approccio globale alla protezione dei dati personali” e sono iniziati i lavori per aggiornare la direttiva del 1995.

Il GDPR è entrato in vigore nel 2016 dopo l’approvazione del Parlamento europeo e, a partire dal 25 maggio 2018, tutte le organizzazioni dovevano essere conformi.

Campo di applicazione, sanzioni e definizioni chiave

Innanzitutto, se elabori dati personali di cittadini o residenti dell’UE o offri beni o servizi a tali persone, il GDPR si applica a te anche se non sei nell’UE.

In secondo luogo, le multe per violazione del GDPR sono molto alte. Esistono due livelli di sanzioni, che raggiungono un massimo di 20 milioni di euro o il 4% delle entrate globali (a seconda di quale sia maggiore), inoltre gli interessati hanno il diritto di chiedere il risarcimento dei danni.

Il GDPR definisce a lungo una serie di termini legali. Di seguito sono riportati alcuni dei più importanti a cui ci riferiamo in questo articolo:

Dati personali — I dati personali sono tutte le informazioni relative a un individuo che può essere identificato direttamente o indirettamente. Nomi e indirizzi email sono ovviamente dati personali. Anche informazioni sulla posizione, etnia, genere, dati biometrici, credenze religiose, cookie web e opinioni politiche possono essere dati personali. Anche i dati pseudonimi possono rientrare nella definizione se è relativamente facile identificare qualcuno da essi.

Elaborazione dei dati — qualsiasi azione eseguita sui dati, automatizzata o manuale. Gli esempi citati nel testo includono la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’utilizzo, la cancellazione… quindi praticamente qualsiasi cosa.

Interessato — la persona i cui dati sono trattati. Questi sono i tuoi clienti o visitatori del sito.

Titolare del trattamento — La persona che decide perché e come verranno trattati i dati personali. Se sei un proprietario o un dipendente della tua organizzazione che gestisce i dati, questo sei tu.

Responsabile del trattamento — una terza parte che elabora i dati personali per conto di un titolare del trattamento. Il GDPR ha regole speciali per questi individui e organizzazioni. Potrebbero includere server cloud o fornitori di servizi di posta elettronica.

Cosa dice il GDPR su…

Per il resto di questo articolo, spiegheremo brevemente tutti i punti normativi chiave del GDPR.

Principi di protezione dei dati

Se elabori dati, devi farlo secondo sette principi di protezione e responsabilità delineati nell’articolo 5.1-2:

  1. Legalità, correttezza e trasparenza — Il trattamento deve essere lecito, corretto e trasparente per l’interessato.
  2. Limitazione delle finalità — è necessario elaborare i dati per gli scopi legittimi specificati esplicitamente all’interessato quando li ha raccolti.
  3. Minimizzazione dei dati — Dovresti raccogliere ed elaborare solo i dati assolutamente necessari per gli scopi specificati.
  4. Accuratezza — è necessario mantenere i dati personali accurati e aggiornati.
  5. Limitazione dell’archiviazione — puoi archiviare i dati di identificazione personale solo per il tempo necessario allo scopo specificato.
  6. Integrità e riservatezza — Il trattamento deve essere effettuato in modo tale da garantire sicurezza, integrità e riservatezza adeguate (ad es. utilizzando la crittografia).
  7. Responsabilità — il titolare del trattamento dei dati è responsabile di essere in grado di dimostrare la conformità al GDPR con tutti questi principi.

Responsabilità

Il GDPR afferma che i responsabili del trattamento dei dati devono essere in grado di dimostrare di essere conformi al GDPR. E questo non è qualcosa che puoi fare dopo il fatto: se pensi di essere conforme al GDPR ma non puoi mostrare come, allora non sei conforme al GDPR. Tra i modi in cui puoi farlo:

  • Assegna le responsabilità della protezione dei dati al tuo team.
  • Mantieni una documentazione dettagliata dei dati che stai raccogliendo, come vengono utilizzati, dove sono archiviati, quale dipendente ne è responsabile, ecc.
  • Forma il tuo personale e implementa misure di sicurezza tecniche e organizzative.
  • Avere contratti di Accordo sul trattamento dei dati in atto con terze parti che contratta per elaborare i dati per te.
  • Nominare un responsabile della protezione dei dati (sebbene non tutte le organizzazioni ne abbiano bisogno).

La sicurezza dei dati

Ti viene richiesto di gestire i dati in modo sicuro implementando “misure tecniche e organizzative appropriate”.

Le misure tecniche significano qualsiasi cosa, dal richiedere ai tuoi dipendenti di utilizzare l’autenticazione a due fattori sugli account in cui sono archiviati i dati personali al contratto con fornitori di cloud che utilizzano la crittografia end-to-end.

Le misure organizzative sono cose come la formazione del personale, l’aggiunta di una politica sulla privacy dei dati al manuale del dipendente o la limitazione dell’accesso ai dati personali solo ai dipendenti dell’organizzazione che ne hanno bisogno.

In caso di violazione dei dati, hai 72 ore per informare gli interessati o incorrere in sanzioni. (Questo requisito di notifica può essere derogato se si utilizzano salvaguardie tecnologiche, come la crittografia, per rendere i dati inutili per un utente malintenzionato.)

Protezione dei dati in base alla progettazione e per impostazione predefinita

D’ora in poi, tutto ciò che fai nella tua organizzazione deve, “per progettazione e per impostazione predefinita”, considerare la protezione dei dati. In pratica, ciò significa che devi considerare i principi di protezione dei dati nella progettazione di qualsiasi nuovo prodotto o attività. Il GDPR copre questo principio all’articolo 25.

Supponiamo, ad esempio, di lanciare una nuova app per la tua azienda. Devi pensare a quali dati personali l’app potrebbe raccogliere dagli utenti, quindi considerare i modi per ridurre al minimo la quantità di dati e come proteggerli con la tecnologia più recente.

Quando sei autorizzato a elaborare i dati

L’articolo 6 elenca i casi in cui è legale trattare i dati personali. Non pensare nemmeno di toccare i dati personali di qualcuno – non raccoglierli, non archiviarli, non venderli agli inserzionisti – a meno che tu non possa giustificarlo con uno dei seguenti:

  • L’interessato ha fornito un consenso specifico e inequivocabile al trattamento dei dati. (ad es. Hanno aderito alla tua lista di email di marketing.)
  • Il trattamento è necessario per dare esecuzione o per prepararsi alla conclusione di un contratto di cui l’interessato è parte. (ad es. è necessario eseguire un controllo dei precedenti prima di affittare la proprietà a un potenziale inquilino.)
  • Devi elaborarlo per adempiere a un tuo obbligo legale. (ad es. Ricevi un’ordinanza dal tribunale della tua giurisdizione.)
  • Devi elaborare i dati per salvare la vita di qualcuno. (ad es. Bene, probabilmente saprai quando questo si applica.)
  • Il trattamento è necessario per svolgere un compito di interesse pubblico o per svolgere una funzione ufficiale. (ad esempio, sei una società di raccolta dei rifiuti privata.)
  • Hai un legittimo interesse a trattare i dati personali di qualcuno. Questa è la base legale più flessibile, sebbene i “diritti e libertà fondamentali dell’interessato” prevalgano sempre sui tuoi interessi, soprattutto se si tratta dei dati di un bambino. (È difficile fornire un esempio qui perché ci sono una varietà di fattori che devi considerare per il tuo caso.)

Una volta determinata la base legale per il trattamento dei dati, è necessario documentare tale base e informare l’interessato (trasparenza!). E se in seguito decidi di modificare la tua giustificazione, devi avere una buona ragione, documentarla e informarne l’interessato.

Consenso

Ci sono nuove regole rigide su cosa costituisce il consenso da un interessato al trattamento delle proprie informazioni.

  • Il consenso deve essere “liberamente prestato, specifico, informato e non ambiguo”.
  • Le richieste di consenso devono essere “chiaramente distinguibili dalle altre questioni” e presentate in “linguaggio chiaro e semplice”.
  • Gli interessati possono revocare il consenso precedentemente prestato in qualsiasi momento e tu devi onorare la loro decisione. Non puoi semplicemente cambiare la base giuridica del trattamento con una delle altre giustificazioni.
  • I minori di 13 anni possono dare il consenso solo con il permesso del genitore.
  • È necessario conservare prove documentali del consenso.

Responsabili della protezione dei dati

Contrariamente alla credenza popolare, non tutti i titolari o responsabili del trattamento dei dati devono nominare un responsabile della protezione dei dati (RPD). Ci sono tre condizioni in base alle quali è necessario nominare un DPO:

  • Sei un’autorità pubblica diversa da un tribunale che agisce in qualità di giudice.
  • Le tue attività principali richiedono un monitoraggio sistematico e regolare delle persone su larga scala. (ad es. Sei Google.)
  • Le tue attività principali sono il trattamento su larga scala di categorie speciali di dati elencate all’articolo 9 del GDPR o dati relativi a condanne penali e reati di cui all’articolo 10. (ad es. sei uno studio medico).

Puoi anche scegliere di designare un DPO anche se non sei obbligato a farlo. Ci sono vantaggi nell’avere qualcuno in questo ruolo. I loro compiti di base riguardano la comprensione del GDPR e come si applica all’organizzazione, la consulenza alle persone all’interno dell’organizzazione sulle loro responsabilità, la conduzione di corsi di formazione sulla protezione dei dati, la conduzione di audit e il monitoraggio della conformità al GDPR e il collegamento con le autorità di regolamentazione.

Diritti alla privacy delle persone

Sei un titolare del trattamento e/o un responsabile del trattamento. Ma in quanto persona che utilizza Internet, sei anche un soggetto dei dati. Il GDPR riconosce una serie di nuovi diritti alla privacy per gli interessati, che mirano a dare agli individui un maggiore controllo sui dati che prestano alle organizzazioni. Come organizzazione, è importante comprendere questi diritti per assicurarsi di essere conformi al GDPR.

Di seguito è riportato un riepilogo dei diritti alla privacy degli interessati:

  1. Il diritto di essere informati
  2. Il diritto di accesso
  3. Il diritto alla rettifica
  4. Il diritto alla cancellazione
  5. Il diritto di limitare il trattamento
  6. Il diritto alla portabilità dei dati
  7. Il diritto di opposizione
  8. Diritti in relazione al processo decisionale automatizzato e alla profilazione.

Conclusione

Abbiamo appena trattato tutti i punti principali del GDPR in poco più di 2.000 parole. Il regolamento stesso (escluse le direttive di accompagnamento) è di 88 pagine. Se sei interessato dal GDPR, ti consigliamo vivamente contattarci per assicurarti di essere conforme al GDPR.