GDPR 2018. Il web Italiano deve cambiare entro Maggio.

  • 111
    Shares

gdpr-maggio-2018
(General Data Protection Regulation) Regolamento Generale sulla Protezione dei Dati

Il Regolamento Europeo 679/2016, approvato il 14 aprile 2016, disciplina il trattamento e la protezione dei dati personali dei cittadini comunitari.

Entro maggio 2018 enti e imprese dovranno adeguarsi, o rischiano l’applicazione di sanzioni fino a 20 milioni di euro o il 4% del fatturato.

Novità di Regole per le imprese ed il business

Il regolamento generale sulla protezione dei dati (GDPR) sarà definitivamente applicabile in via diretta in tutti i Paesi UE, da maggio 2018, considerato che non vi è la necessità di recepimento con atti nazionali. Secondo il GDPR per dati personali si intende “qualsiasi informazione concernente una persona fisica identificata o identificabile”.

Quindi non resta molto tempo per porre in essere gli adeguamenti richiesti alle proprie politiche per la protezione ed il trattamento dei dati personali.

La Tua Attività è in Regola con il Nuovo GDPR?

Il 90% delle attività Italiane presenti nel web, utilizzano la raccolta di dati personali. Tale dev’essere un’occasione per rivedere i programmi di sicurezza utilizzati, per gestire e proteggere i dati personali in modo da risparmiare tempo, denaro e brutte sorprese.

I fondamentali concetti di Privacy sono:

A) Privacy by Design e Privacy by Default

Con riferimento alle iniziative di protezione dei dati, l’articolo 25 del Regolamento introduce i concetti delle cosiddette “Privacy by design” e di “Privacy by default”.I Titolari del trattamento dovranno, pertanto, prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita dei dati – dalla raccolta alla cancellazione – incentrandosi sistematicamente sulle garanzie procedurali in merito all’esattezza, alla riservatezza, all’integrità, alla sicurezza ed alla cancellazione dei dati
Privacy by Design: l’attuazione di adeguate misure tecniche ed organizzative sia all’atto della progettazione che dell’esecuzione del trattamento Privacy by Default: ricalca il principio di necessità di cui al vigente Codice privacy, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini
Con ciò si intende identificare il dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate:

  • ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti posti dal Regolamento ed a tutelare i diritti degli interessati;
  • a garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.

B) Responsabilizzazione

Ai sensi dell’articolo 30 del Regolamento è necessario (per tutti) istituire un registro del trattamento dei dati.
Il motivo della disposizione è che tutte le operazioni di trattamento devono essere tracciabili e documentabili, quasi in una logica da ‘scatola nera’. Trattasi dell’applicazione operativa del principio di rendicontazione e responsabilità, secondo il quale il titolare del trattamento (ed il responsabile, se presente) deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, indicando obbligatoriamente, per ognuno di essi, una serie nutrita di informazioni tali da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni del Regolamento.
Tale documento dovrà in ultima analisi risultare di portata più ampia rispetto al Documento Programmatico sulla Sicurezza.Sempre con riferimento alle iniziative di protezione nell’ambito della responsabilizzazione, ai sensi dell’articolo 32 del Regolamento:
1. Il titolare (ed il responsabile, se presente) mette in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
4. Il titolare (ed il responsabile, se presente) fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare.
Ai sensi dell’articolo 35 del Regolamento si impone una valutazione di impatto sin dal momento della progettazione del processo di raccolta e di trattamento dei dati. In particolare, la valutazione di impatto deve essere effettuata, prima del trattamento, con riferimento ad operazioni che comportano l’utilizzo di nuove tecnologie, che mirano al trattamento di una notevole quantità di dati e che potrebbero incidere su un vasto numero di interessati. Ancora, la valutazione di impatto deve essere fatta quando i dati sono trattati per assumere decisioni riguardanti persone fisiche, basata sulla profilazione. Inoltre, la valutazione deve essere promossa quando la raccolta è effettuata per la sorveglianza di zone accessibili al pubblico su larga scala.
La valutazione di impatto deve contenere, tra le altre considerazioni, le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

 

In Definitiva i punti essenziali di Rinnovo del GDPR 2018 sono:

  1. Le aziende e gli enti pubblici che trattano dati particolari/sensibili su larga scala dovranno nominare un Data Protection Officer responsabile di informare, catalogare e monitorare i dati.
  2. Sarà rafforzato il Diritto di Accesso dei consumatori ai dati personali detenuti dalle aziende.
  3. Le restrizioni sulla profilazione dei consumatori vieteranno l’acquisizione dei dati senza esplicito consenso.
  4. Il Diritto all’oblio dei singoli sarà ulteriormente tutelato.
  5. Le aziende hanno l’obbligo di segnalare entro 72 ore qualsiasi violazione dei dati personali.
  6. In alcuni casi le aziende dovranno notificare una possibile violazione dei dati ai soggetti impattati.

Le attività e le Imprese nel Web hanno un tempo ristretto per adeguearsi a tale regolamento, che sarà attivo dal 25 Maggio 2018. Non aspettate l’ultimo momento, ma beneficiate subito di una consulenza gratuita che vi permetta di essere in regola con le nuove Regolamentazioni a breve in vigore.

Con i nostri Servizi Web Server Management e Sicurezza, scoprirete la stabilità di affidarvi ad un Partner Competente. Siamo in grado di mantenere una Reputazione Stabile del vostro Brand dando valore al vostro sito a norma con le nuove Regole sulla Protezione dei Dati personali, GDPR 2018.

Sorgenti di Riferimento:

http://www.garanteprivacy.it/regolamentoue
http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni
https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati

Generatore di Privacy Policy:
https://www.iubenda.com/blog/regolamento-generale-protezione-dati/

Download del regolamento Ufficiale:
Nuovo-Codice-GDPR-2018.pdf

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

CAPTCHA Image[ Immagine differente ]

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.