Il GDPR è scattato il 25 Maggio 2018, termine entro il quale tutte le aziende europee avrebbero dovuto adottare le misure adeguate in base al nuovo Regolamento Europeo per la Protezione Dati EU-GDPR 2016/679.
GDPR …questo sconosciuto!
Benché se ne parli già da tempo, nei vari convegni e sul web, molte aziende ancora non hanno ben chiaro di che cosa si tratta e soprattutto, cosa comporta in termini di procedure da adottare, come metterle in pratica, con quali risorse e in che ordine ma anche, come manutenerle.
In questo articolo vedremo di fare maggiore chiarezza riassumendo quello che serve sapere per orientarsi.
CHE COS’È innanzitutto il GDPR: il Regolamento UE 2016/679
Il nuovo Regolamento (UE) 2016/679 per la Protezione dei Dati o GDPR (General Data Protection Regulation) determina le “linee guida” da adottare in materia di Protezione delle Persone Fisiche con riguardo al Trattamento dei Dati nonché alla libera circolazione di tali dati.
È importante sottolineare il fatto che, bensì l’obbligo sia per tutte le aziende, i “Dati” a cui si riferisce il Regolamento sono quelli che riconducono o che si possono in qualche modo ricondurre a Persone Fisiche e non giuridiche (aziende).
Scarica tutto il Regolamento GDPR in Pdf (88pag) RGPD (Regolamento Generale Protezione Dati) UE 2016/679
E che fine ha fatto la vecchia “Legge Privacy” Dlgs 196/2003?
L’attuale Legge Italiana D.lgs 196 del 2003, meglio conosciuta come “Legge Privacy”, è ancora in vigore ma è stata modificata con il nuovo Dlgs101, entrato in vigore il 19 Settembre 2018, che ha di fatto abrogato molti articoli che erano in contrasto con il Regolamento, ne ha modificati alcuni e ne ha introdotti dei nuovi.
Il Regolamento UE 2016/679 GDPR abroga invece completamente la vecchia Direttiva 95/46, dalla quale sono nate tutte le Leggi Privacy dei vari Stati Membri, tra cui anche la nostra Dlgs 196/2003.
Trattandosi appunto di “Regolamento” e non di “Direttiva”, il GDPR non è soggetto stavolta a “recepimento” e non potrà quindi essere modificato dagli Stati Membri, né sul contenuto né, tanto meno, sulle date di applicazione essendo applicabile, fin dall’inizio, esattamente così com’è.
Le aziende che avevano già adottato a suo tempo le misure previste nella “Legge Privacy” come, ad esempio, il DPS o Documento Programmatico della Sicurezza (poi tolto dal 2013), saranno sicuramente avvantaggiate perché non dovranno partire da zero, se non altro come “cultura” da introdurre in azienda.
I VANTAGGI del Nuovo Regolamento UE 2016/679 o GDPR sono:
Con questo Regolamento, il Consiglio Europeo, oltre ad armonizzare e ad aggiornare le normative privacy in tutta la UE, si pone come secondo obiettivo, quello di ridefinire l’approccio delle aziende in materia di protezione dati, in virtù dei continui attacchi informatici di cui sono oggetto da alcuni anni le imprese di ogni dimensione e settore, fornendo una guida utile anche in questa direzione.
I principali vantaggi del GDPR sono:
- norme uniche per tutta l’UE
- condizione di parità per tutte le imprese UE
- norme adatte alla web-economy
- norme “scalabili” ed “adattabili” ai cambiamenti tecnologici ed ai futuri scenari economici.
Le due DATE da ricordare del GDPR
Le principali DIFFERENZE del GDPR rispetto all’attuale “Legge Privacy” D.lgs 196/2003
La novità principale del nuovo regolamento è che sparisce il concetto di “MISURE MINIME” , alla base dell’attuale normativa D.Lgs 196, per lasciare il posto a quello di “MISURE ADEGUATE”.
Ma, la vera rivoluzione, è l’introduzione del nuovo principio di “ACCOUNTABILITY” (Responsabilizzazione).
Tale principio di fatto attribuisce più discrezionalità ma, al tempo stesso, maggiore responsabilità al “Titolare del Trattamento” su tutto quello che concerne la protezione dati con un inasprimento consistente delle sanzioni previste in caso di inadempienza.
Se è vero che viene lasciato più spazio alla discrezionalità è anche vero che, il Titolare ed il Responsabile del Trattamento hanno il preciso dovere di dimostrare le ragioni che hanno determinato le scelte fatte.
In definitiva tutto ciò necessita di azioni molto ampie e strutturate, che andranno ad agire su più aree di intervento indicate nella grafica sottostante:
Quali sono le AREE su cui INTERVENIRE per il GDPR
Quali sono i CONCETTI CHIAVE del GDPR da tenere a mente
Cominciamo a prendere confidenza con le denominazioni e i concetti che più incontreremo quando ci ritroveremo a parlare di GDPR.
I SOGGETTI del trattamento nel nuovo GDPR:
- INTERESSATO al Trattamento: la persona fisica oggetto del trattamento dati
- TITOLARE del Trattamento: la persona fisica o giuridica (azienda/ente) titolare del trattamento
- RESPONSABILE del Trattamento: la persona fisica o giuridica responsabile di un determinato trattamento. Può essere anche esterno mediante nomina (es. dati in Hosting, provider di posta, servizio paghe..) o interno (es. resp. reparto/processo interno o lo stesso Titolare del Trattamento)
- DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) o Privacy Officer: è la nuova figura introdotta nel 2016 dal GDPR. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
- Entrambi, Titolare e Responsabile, rispondono legalmente.
- Possono essere nominati anche più responsabili del trattamento.
Il Principio di “ACCOUNTABILITY” nel GDPR
Come già detto in apertura, il GDPR pone l’accento sui concetti di “Responsabilizzazione” (Accountability) e di “Misure Adeguate” in quanto, il Titolare del Trattamento deve garantire ed essere sempre in grado di dimostrare di rispettare i princìpi del Regolamento nonché, di aver messo in atto le misure ritenute idonee dal Titolare stesso
Anche se nel GDPR sparisce il concetto di “Misure Minime”, presente nel D.lgs 196/2003, si può comunque prevedere un insieme minimo di azioni per soddisfare le esigenze di Accountability il cui nucleo potrebbe essere così composto:
- Assessment: valutazione iniziale legale e informatica
- Registro dei Trattamenti: non obbligatorio fino a 250 dipendenti ma consigliato
- Funzionigramma privacy: definizione ruoli e compiti
- Risk Assessment: valutazione del rischio sul dati da trattare
- Privacy Impact Assessment: distinte valutazioni sull’impatto privacy relative a particolari processi, servizi, prodotti, sistemi che il Titolare può adottare, installare o fornire (ad es: installazione di impianti di videosorveglianza o di gps; organizzazione di campagne marketing; ecc.)
- Documentazione: Informative, consensi e nomine
Formazione: adeguata istruzione e formazione a chi dovrà trattare i dati - Gestione: mediante audit periodici di controllo
Il GDPR introduce un NUOVO RUOLO: il DPO
Il GDPR prevede l’inserimento di un nuovo ruolo nell’organigramma: il Responsabile della Protezione Dati o DPO (Data Protection Officer) detto anche Responsabile della Sicurezza (Privacy Officer).
CHI è il DPO
Il DPO è una nuova figura specialistica, con cognizioni tecniche, informatiche e giuridiche.
Viene nominato dal Titolare del Trattamento e, il suo compito, è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di Controllo e i diretti interessati.
I COMPITI del DPO
- Informare e fornire consulenza al titolare del trattamento nonché ai dipendenti;
- Sorvegliare l’osservanza del Regolamento GDPR
- Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
- Cooperare con l‘Autorità di controllo (il Garante Privacy);
- Fungere da punto di contatto per l‘Autorità di controllo per questioni connesse al trattamento;
QUANDO si deve nominare il DPO
La designazione del DPO è obbligatoria per tutti gli enti pubblici mentre, per le aziende private solo per le seguenti tipologie di trattamenti:
- effettuati su larga scala e sistematici (Es. Marketing, Profilazione..etc)
- comandati da una Pubblica Autorità
- che riguardano particolari categorie di dati sensibili
Anche se la nomina del DPO è, nella maggior parte dei casi facoltativa, se ne consiglia comunque l’introduzione, per agevolare l’inserimento, il monitoraggio e la corretta applicazione delle procedure nonché, per gestire ed aggiornare tutta la documentazione necessaria.
Inoltre il DPO assume un ruolo fondamentale, in caso di violazione dei dati (Data Breach), come interfaccia con le Autorità di Controllo.
INQUADRAMENTO del DPO
Il Responsabile della Protezione dei Dati può essere:
- un dipendente del titolare del trattamento o del responsabile del trattamento
- oppure assolvere i suoi compiti in base a un contratto di servizi
DPO e altri Ruoli Manageriali: possibile “Conflitto d’interesse”?
La materia, che sicuramente richiede anche competenze tecnico/sistemistiche, sta generando il dubbio in molte aziende sul fatto di delegare o meno il ruolo del DPO ad altri Ruoli Manageriali interni come ad es. il Responsabile IT o il Direttore Marketing, o a partner informatici esterni qualora non esistano questi ruoli all’interno.
È chiaro che il Responsabile CIO/Marketing o il Partner IT avrebbero un compito determinante nel supportare la privacy, vista la profonda conoscenza dell’infrastruttura dell’azienda, motivo per cui sono da considerare figure chiave all’interno di un progetto Privacy.
È opinione condivisa però che, nel caso del doppio ruolo, il Resp.IT/DPO si troverebbe a svolgere contemporaneamente il ruolo di controllore e controllato, generando quindi un possibile conflitto d’interesse.
A tal proposito il Garante Privacy precisa nelle linee guida sul DPO che:
“…A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento…”
AREE e RUOLI di un PIANO PRIVACY GDPR
Un Progetto Privacy, per essere serio e sostenibile, deve essere condiviso in primis dai vertici aziendali per essere esteso, progressivamente, a tutti gli stakeholder e reparti che, in qualche modo, hanno a che fare con quei processi che trattano dati personali (Es. paghe, marketing, commerciale, amministrazione, Risorse Umane HR etc.).
Un adeguato progetto GDPR deve coinvolgere più ruoli, competenze e reparti interni ed esterni all’azienda Condividi il TweetCOME PROCEDERE per un piano Privacy GDPR: la FASE iniziale
1. Porre le BASI
Abbiamo detto prima che è necessario coinvolgere molte aree dell’azienda prima fra tutte la Dirigenza.
In questa PRIMA FASE è importante coinvolgere, oltre ai Dirigenti, anche i KeyUsers o responsabili dei vari processi e reparti che più di tutti interverranno nel progetto.
In questo step è necessario individuare bene gli obiettivi e porsi le seguenti domande chiave:
Quali sono gli OBIETTIVI di business a medio e lungo termine dell’azienda?
Quali DATI servono per raggiungere questi obiettivi?
2. Mappare i dati e fare l’analisi delle lacune
In questa è importante rilevare e documentare quali dati personali sono in possesso dell’azienda, da dove provengono, da chi, dove e come vengono gestiti questi dati, rendendone consapevoli i vari team coinvolti.
Quesiti fondamentali per mappare i dati:
- Che TIPI di dati raccogli?
- PERCHÈ li raccogli?
- DOVE archivi i tuoi dati?
- CHI ha accesso a questi dati?
- Per QUANTO TEMPO vengono conservati?
- Vengono rispettati i Diritti Privacy delle persone?
Una volta mappati i DATI bisogna individuare le lacune quindi COSA MANCA (GAP ANALYSYS) per colmare queste lacune e rendere adeguate le procedure alle disposizioni del GDPR e, sottolineiamo “adeguate”, ricordando che il GDPR non prevede il concetto di “misure minime” presente invece nell’attuale normativa “privacy”.
3. VALUTARE i RISCHI – Risk Assessment
L’analisi dei rischi è un fase molto delicata del processo di compliance che necessita sia di competenze giuridiche che tecniche, in particolare informatiche.
Una volta che si sono mappati i dati, è necessario procedere con una valutazione del rischio, per determinare quale impatto privacy potrebbe avere quel determinato trattamento dati per i diritti e le libertà delle persone fisiche.
Questa procedura viene chiamata PIA – Privacy Impact Assessment o DPIA – Data Privacy Impact Assessment nella versione più “strong” ovvero, quando si devono valutare trattamenti particolarmente rischiosi come, ad esempio, i trattamenti di dati biometrici o la videosorveglianza.
Per effettuare una corretta risk assessment, senza andare a scomodare le norme ISO27001 specifiche per le aziende ICT, ci si può avvalere delle Linee Guida ENISA ed EDPB ,che sono gli enti Europei preposti a fornire supporto e documentazione in merito alla protezione dati.
Una volta definiti i rischi bisogna individuare le lacune e quindi COSA MANCA attraverso una Gap Analysys, sia a livello organizzativo (procedure e risorse) che tecnico (protezione dati), affinchè si possa ridurre al minimo il rischio mediante le stesura di un Remediation Plan
Il Remediation Plan è un documento, solitamente un foglio di excel, dove vengono indicate le misure che servono e i relativi tempi di attuazione per colmare i gap.
Purtroppo, non esiste una CHECK-LIST standard che vada bene per tutti, anche se le norme ISO 27001 e le Linee Guida citate sopra possono aiutare.
Questo vuol dire che ciascuna azienda deve effettuare una propria analisi dei rischi ed eseguire azioni specifiche atte a ridurre al minimo il rischio basandosi sui principi introdotti dal Gdpr della “Privacy By Design” e “Privacy By Default”.
Normalmente per questo tipo di attività è quasi sempre indispensabile avvalersi di un professionista.
4. Creare una ROADMAP
Bene, arrivati a questo punto, abbiamo stabilito quali sono gli obiettivi e le priorità, abbiamo definito lo scenario e deciso come agire in base ad un’Analisi specifica dei Rischi in base ai dati ed al rischio per il loro trattamento.
Ora è necessario realizzare che ognuna di queste azioni confluirà in un progetto specifico, ognuno con un suo responsabile, risorse assegnate, competenze e scadenze.
Una vera e propria ROADMAP con le azioni da eseguire, da chi (definizione ruoli e competenze), in che modo e in che tempi, la documentazione da produrre, le comunicazioni interne ed esterne, gli interventi infrastrutturali (IT), ed infine la formazione e la consulenza ai responsabili ed al personale.
5. AGIRE
Adesso che abbiamo coinvolto, analizzato, rilevato, descritto e definito “cosa fare” è arrivato finalmente il momento di mettere in pratica tutto quello che si è detto.
Innanzitutto è fondamentale che tutti i Ruoli siano ben chiari e definiti ed ogni cosa vada nella direzione giusta.
In questa fase il ruolo di supervisione e coordinamento del DPO è fondamentale, non solo per controllare e sorvegliare ma, anche per fornire consulenza e formazione alle risorse coinvolte e, sopratutto per monitorare, con l’ausilio di strumenti di “Audit”, che non ci siano violazioni dei dati nel qual caso, dovrà prontamente intervenire per gestire il Data Breach con le Autorità di Controllo.
Che cos’è l’OBBLIGO di NOTIFICA o DATA BREACH NOTIFICATION
Una delle più importanti novità introdotte e che, al di là delle importanti sanzioni previste, induce più di tutte a prendere sul serio il GDPR, è proprio l’Obbligo di Notifica o Data Breach Notification.
In caso di Violazione dei Dati, dal 25 Maggio 2018 non sarà più possibile nascondersi dietro il “silenzio” ma, sarà obbligatorio denunciare l’accaduto alle Autorità Competenti (Garante Privacy) e ai diretti interessati, entro un limite massimo di 72 ore dalla scoperta.
..ma non finisce qui!!
Infatti non è sufficiente “limitarsi” a denunciare perché, se si vuole limitare le sanzioni, è necessario essere anche in grado di dimostrare documentando che si è fatto tutto quello che si poteva fare per limitare al minimo possibile il danno.
Bisogna essere preparati al peggio per gestire al meglio una VIOLAZIONE dei DATI! Il #GDPR può essere lo stimolo che serviva alle aziende per mettere in sicurezza il proprio patrimonio di dati. Condividi il TweetDi seguito una infografica con un esempio di gestione di DATA BREACH
Conviene adeguarsi al GDPR e investire in CYBERSECURITY?
Sono i quesiti che si stanno ponendo un po’ tutti, soprattutto le piccole e medie aziende, che vedono nel GDPR l’ennesima “trappola burocratica”, solo costi e niente vantaggi.
Cercheremo di dare una risposta ragionando al contrario e cioè; quanto potrebbe costare ad un’azienda non investire sul GDPR?
Ma quanto può costare un progetto di adeguamento al GDPR?
Prima di chiedersi quanto può costare adeguarsi al GDPR non è forse il caso prima di chiedersi quanto potrebbe costare una perdita di dati in un’azienda?
Una violazione della sicurezza che comportasse una perdita di dati importante può essere devastante, anche in una piccola azienda, per vari motivi riassunti in questa infografica:
Le SANZIONI PREVISTE dal GDPR
Le sanzioni previste dal Regolamento Europeo 2016/679 non sono di poco conto infatti, possono partire da un minimo di zero fino a:
- 20 Milioni di €uro
- o il 4% del fatturato mondiale dell’anno precedente
Per le quali si applica la maggiore delle due.
A queste si devono poi aggiungere le possibili implicazioni penali previste dalla legislazione del paese in caso di violazione grave, a cui sarebbero soggetti sia il Titolare (legale rappresentate) che il Responsabile del Trattamento.
In Italia le sanzioni penali sono state inasprite da 5 a 7 anni di reclusione nei casi più gravi.
Quanto potrebbe costare ad un’azienda una VIOLAZIONE DATI?
Facciamo un esempio pratico di Data Breach e mettiamo il caso di un’azienda che fattura 5 Milioni di €uro, che non si adegua al GDPR e non dispone di un adeguato piano di Disaster Recovery.
Ipotizziamo lo scenario peggiore e mettiamo il caso che l’azienda in questione subisca un ATTACCO HACKER tipo Cryptolocker o Petya, in seguito al quale tutti i dati residenti nei server aziendali siano irrecuperabili compresi i backup di rete.
- Sanzione prevista dal GDPR ammontante al 4% sul fatturato: 200.000 €uro
- Perdita di 2 anni di dati gestionali: ipotizzando circa 6 mesi per ricostruire i dati con un costo medio mensile di un impiegato di 3.000 €uro avremmo un costo secco di circa 18.000 €uro.
- Perdita in produttività aziendale e fatturato nei mesi che seguono al Data Breach: diciamo ottimisticamente l’1% del fatturato? 50.000 €uro
Possiamo ipotizzare che il DANNO causato da una VIOLAZIONE DATI per un’azienda che fattura 5 Milioni di €uro sarebbe di quasi 300.000 €uro.
Senza considerare la perdita d’immagine sul mercato e il clima di stress creato in azienda, i cui danni sono difficilmente calcolabili, nonché le possibili implicazioni penali nel caso di gravi negligenze.
Infine si deve anche tenere conto che, nel caso il Data Breach dovesse causare danni agli interessati di tipo patrimoniale, psico-somatico, sociale o d’immagine, potremmo dover fare fronte a richieste di risarcimento difficilmente prevedibili.
Come preparare un piano di azione per PREVENIRE e per GESTIRE una VIOLAZIONE DATI
In uno dei tanti convegni sulla Cybersecurity a cui ho partecipato di recente un autorevole docente universitario ha detto questa frase:
“Non chiedetevi SE possono attaccarvi… piuttosto QUANDO succederà!”
Se siamo tutti d’accordo sul fatto che non esiste sistema informatico “a prova di hacker”, diventa a questo punto di vitale importanza predisporre sempre un PIANO B nel caso si venga attaccati.
Col GDPR diventa ancora più indispensabile essere “preparati a gestire” un’evenienza del genere anche perché, vale sempre il principio che bisogna dimostrare e documentare di averlo fatto nel migliore dei modi possibile.
Esempio di schema di attuazione della Cybersicurezza in base al GDPR
CONCLUSIONI
Il GDPR si sta avvicinando a grandi passi e le aziende hanno due modi per affrontarlo:
Il primo modo, che io chiamo “all’Italiana”, è quello di “raffazzonare” alla bene e meglio quello che è stato fatto per il D.Lgs 196/2003 (sempre che sia stato fatto ovviamente..), con l’unico scopo di adottare la forma minima atta ad evitare le sanzioni o, quanto meno, a ridurle al minimo.
Un approccio del genere, a mio avviso, è sbagliato perché la minaccia più grande non è la sanzione, bensì i possibili danni che può arrecare una perdita di dati.
Il secondo modo, molto più maturo e moderno, parte dalla consapevolezza che, nel mondo digitale, tutti i business sono ormai diventati Data Driven e il GDPR può essere quello stimolo in più ed una guida utile per mettere finalmente in atto quelle misure che servono alle aziende per proteggere tutto il loro patrimonio di dati, e quindi non solo quella relativa ai dati personali oggetto del Regolamento.
Misure che, ogni azienda che vuole rimanere competitiva e innovarsi in questo mercato globale, anche in un’ottica di Industria 4.0, dovrebbe attuare in ogni caso ed a prescindere.
Il #GDPR è un'occasione imperdibile per le PMI per aggiornare i propri processi e creare un circolo virtuoso Condividi il TweetIn definitiva le aziende che vedranno il GDPR come un’opportunità per crescere e rafforzarsi e non come una mera formalità, godranno sicuramente di maggiori benefici e potranno affrontare con più serenità un mercato competitivo che non perdona “passi falsi”.
Grazie. Gentilissimo, Marco. Buona giornata e buon lavoro. Saluti. Paolo Pinna.
Buon giorno. Mi chiedevo se una società con centinaia di clienti e di fornitori e una decina di dipendenti, possa mettersi in regola, predisponendo senza l’ausilio di personale esterno, un proprio piano della nuova privacy. Si tratterebbe di mettere nero su bianco, ciò che già facciamo, nel rispetto della privacy.
Buongiorno Paolo, in realtà se già quello che fate è per voi “adeguato” in funzione dei principi del Regolamento è già un buon punto di partenza.
Per il Titolare è anche però necessario essere in grado di “dimostrare” quello che si è fatto e che si sta facendo documentando secondo il principio dell'”Accountability” che è alla base del Regolamento.
Lei che è un amministrativo mi insegna che per dimostrare un pagamento per un cliente/fornitore deve esserci, oltre un certo limite, una transazione documentabile.
Comunque mi rendo conto che non è semplice farlo perché il GDPR ti dice cosa fare ma non come, affinché possa essere adattabile agli sviluppi tecnologici ed economici futuri senza continue correzioni.
Grazie per la domanda e buona giornata.
Marco
GDPR… peccato che quando gli scrivi ti rispondono dopo 40 giorni…..loro non la sanno fare applicare la privacy. E quindi non esiste privacy in Italia
E’ un problema di risorse, purtroppo il Garante Italiano, che tra parentesi è preso ad esempio in tutta Europa per professionalità e capacità, avrebbe bisogno di molto più personale.
Molto interessante e chiaro. Grazie
Grazie a lei!
Mi associo ai complimenti per l’articolo.
Detto questo, Le chiedo se possa andar bene la formula sottoindicata da inserire in calce ad una dichiarazione di liberatoria di responsabilità minorenni per una trasferta.
Autorizzazione al trattamento dei dati personali:
• i sottoscritti dichiarano di accettare il trattamento dei propri dati personali e di quelli del figlio/a nonché autorizzano il trattamento e la comunicazione dei propri dati personali, per le finalità connesse alla realizzazione dell’escursione e per la eventuale pubblicazione di materiale fotografico, video e digitale.
Alternativamente vorrà consigliarmi su come redigerla.
Ringrazio anticipatamente, porgo
Cordiali saluti.
Chiara
Grazie Chiara per i complimenti!
Per quanto riguarda il consenso per l’informativa l’esempio da lei riportato manca di molti elementi, come il riferimento al Titolare del trattamento, tipologia di atti, il tempo di conservazione dei dati (immagino per il tempo della gita), a chi verranno trasferiti i dati eventuali responsabili esterni etc.
Per capire come fare un’informativa conforme al GDPR, le consiglio di leggere in particolare l’Art.13 del Regolamento Europeo.
Spero di esserle stato utile
Marco
buongiorno sono titolare di un negozio di parrucchiere 4 dipendenti nessun dato personale sulle clienti devo fare qualcosa per il nuovo regololamento europeo sulla privacy?Grazie Paolo Rigamonti
Buongiorno Paolo,
anche solo i dati dei dipendenti sono comunque dati personali da trattare, così come le mail e i dati dei fornitori che immagino abbia come tutti.
Se poi ha un sito ci sono anche lì degli accorgimenti da prendere.
Non dovrà fare molto ma qualcosa dovrà fare.
Marco
buongiorno Marco, piccola azienda con 2 dipendenti, 1 iscritto al sindacato, che dal gdpr risulta essere un dato sensibile,
devo quindi tenere il registro ?
Tenere il registro è sempre e comunque una buona prassi per documentare la propria Compliance, a prescindere dall’obbligatorietà o meno.
Buongiorno,
sono una segretaria amministrativa in una piccola impresa srl con 4 dipendenti e due soci.Principalmente trattiamo i dati relativi alla fatturazione (nome,cognome,indirizzo,codice fiscale o partita iva,numero di telefono o mail) dei nostri clienti. Attualmente abbiamo un gestionale “Amica” dove abbiamo registrato tutti i dati del cliente e un sito sul web.Abbiamo un sistema con antivirus eset e backup cobian 11 gravity.
Come possiamo adeguarci alla nuova legge?
I passi da seguire per adeguarsi sono, chi più e chi meno, quelli indicati nel post a parte la nomina del DPO e l’Impact Assessment che non sono sempre necessari. Dipende sempre dal tipo di trattamenti che, nel suo caso, dovrebbero escludere questo tipo di attività essendo perlopiù dati utilizzati ai fini amministrativi. Tuttavia i dati dei propri dipendenti sono sempre una mina vagante, da valutare con la massima attenzione.
Marco, ti faccio i complimenti perché, per la prima volta, trovo una persona capace di comunicare, con rara chiarezza, efficacia e sintesi, questa questione del GDPR che appare, giustamente – a causa dell’euroburocratese ma anche a causa di quelle realtà che nel GDPR vedono solo un modo per drenare altri soldi alle aziende attraverso software e sistemi automatici – come un ulteriore gravoso e inutile intralcio sulla già difficile strada del business.
Purtroppo l’approccio dell’Europa, in questo come in altri casi, è, dal punto di vista del Gdpr, concettualmente intimidatorio e inquisitore piuttosto che collaborativo.
Ti ringrazio Silvio per gli elogi al post.
In effetti sono d’accordo con te sull’approccio che hanno le aziende nei confronti del GDPR.
Se non entra in azienda la cultura della Sicurezza dei Dati per proteggere il proprio business e prevale quella del semplice adempimento, allora il GDPR è un ulteriore balzello che produce solo ulteriore burocrazia e costi.
C’è anche da dire però che, il Regolamento non pone molti limiti e lascia tanta discrezionalità e spazio al “Buon Senso”.
Sta alle aziende adesso fare in modo di interpretare il GDPR nel modo giusto affinché diventi un’opportunità di crescita.
Buonasera Marco, ho letto con molto interesse il tuo articolo e ti faccio i complimenti per la chiarezza espositiva.
Sono titolare di una piccola ditta di servizi, lavoro da solo e non ho nè dipendenti nè collaboratori. Gli unici dati personali di cui dispongo sono quelli relativi ai miei clienti, nello specifico dati di fatturazione (nome, cognome, indirizzo, codice fiscale e/o P.IVA) e recapiti personali (telefono ed email). I dati sono organizzati e memorizzati sul mio computer in un comune foglio excel protetto all’interno di una cartella crittografata, alla quale ho accesso solo io.
Ritengo, inoltre, di disporre di un “adeguato” livello di protezione sul mio computer finalizzato a prevenire, nei limiti del possibile, intrusioni o perdita/distruzione di dati (antivirus professionale, antimalware e firewall). Eseguo, inoltre, un backup giornaliero di tutti i dati presenti nel pc su un supporto esterno.
Secondo il tuo parere, per una realtà piccola come la mia e considerando l’utilizzo che faccio dei dati dei miei clienti, dovrei anch’io fare qualcosa per adeguarmi al GDPR? Dovrei predisporre una qualche “informativa privacy” dettagliata da far firmare a tutti i clienti nel momento in cui mi forniscono i loro dati?
Grazie.
Ciao Franco,
direi che così, ad una prima occhiata, sei messo molto meglio di aziende più grandi e strutturate…almeno sotto il profilo informatico.
Hai un’attività molto ridotta, senza dipendenti e, se tratti i dati ai soli fini amministrativi non devi fare molto.
Probabilmente, con un minimo di documentazione che attesti che tipo di dati tratti e come li proteggi saresti praticamente a posto.
Per l’informativa ai clienti può essere sufficiente una postilla in calce ai contratti, che dichiari come tratti i dati che raccogli, se sono finalizzati alla sola esecuzione del contratto o altro e se li cedi a terzi o meno: sul web trovi molti spunti utili.
Spero di esserti stato utile, Buona Pasqua;-)
Buonasera Marco,
grazie per la celere risposta. Sicuramente ora ho le idee un pò più chiare.
Grazie anche per gli auguri che ricambio.
Gentile Marco, complimenti per la chiarezza di questo articolo.
Sto valuntando le azioni da intraprendere in merito al GDPR per la mia azienda e volevo chiederti le seguenti:
1. Riguardo l’esempio pratico di Data Breach in cui un’azienda è vittima di un attacco hacker tipo Cryptolocker: come fa, l’Ente che deve controllare l’adeguamento al GDPR, a sapere che ciò è accaduto e quindi ad applicare le sanzioni previste?
2. Qual è l’ente che vigila sull’adeguamento al GDPR? Come richiede questa verifica?
Grazie innanzitutto per l’articolo.
Rispondendo ai tuoi quesiti:
1) L’Autorità di Controllo è il Garante Privacy e, ovviamente, non ha strumenti per verificare un Data Breach se non quello della notifica da parte dell’azienda che lo subisce.In definitiva non può venirlo a sapere se non nel caso in cui la violazione sia resa pubblica da un interessato che ne sia venuto a conoscenza. In tal caso, se l’interessato sporge denuncia all’Authority possono scattare le sanzioni maggiori in quanto si è omesso di notificare la violazione.
2) l’ Ente è il Garante Privacy che può chiedere al DPO (se presente), o al Titolare/Responsabile, di “dimostrare” documentando “l’adeguatezza” delle azioni intraprese prima, durante e dopo il Data Breach.
Grazie mille per le risposte puntuali.
Di niente ;-)
Concordo pienamente, Marco.
In un periodo dove il lavoro è poco ed i soldi sono ancora meno,
farò il minimo indispensabile per rispettare le leggi vigenti.
Tuttavia i dubbi rimangono sulle misure che dovrò adottare per tale scopo.
Per ciò che riguarda la scadenza ultima (25 Maggio, 2018) per l’adeguamento della legge (UE) 2016/679
ho sentito dire che potrebbe cambiare qualcosa entro tale data.
Potrebbero modificarla ed esentare le aziende che hanno meno di 250 dipendenti.
Sarà vero?
Quanti dubbi.
Non vorrei spendere dei soldi che in questo periodo mi farebbero comodo per altre cose.
Odio farmi prendere per il naso!
Buon pranzo Marco.
L’esenzione per le aziende con meno di 250 dipendenti c’è già ma, riguarda solo la compilazione del Registro dei Trattamenti.
In ogni caso mai dire mai anche se, trattandosi di Regolamento Europeo, in vigore già da due anni, ritengo improbabili modifiche dell’ultimo minuto “All’Italiana” ;-).
Se comunque hai ulteriori dubbi Dario puoi scrivermi in privato a info@marcogentilini.com.
Grazie
Credo sia giusto mettersi in regola, bisogna eliminare il rischio di sanzioni e gestire al meglio la sicurezza ma a prezzi proporzionati al tipo di attività. Se mi entrano nel pc, trovano dati che troverebbero tranquillamente in rete. Come: Nome azienda, partita iva , indirizzo….Praticamente tutte le partite iva d’Italia dovranno effettuare corsi e sborsare soldoni? Oggi avrò un colloquio con un secondo professionista, vediamo cosa mi dice. Ci aggiorniamo …. Grazie Marco, sant’uomo!
Chiariamo un CONCETTO FONDAMENTALE: Nome azienda p.iva indirizzo telefono aziendale etc. NON SONO DATI PERSONALI e quindi NON soggetti a trattamento Privacy.
Dati personali sono Nome,Cognome, mail, telefono etc. che riconducano inequivocabilmente ad una persona fisica….giusto per chiarire e smarcare alcune false convinzioni.
Certo Marco è un po’ quello che immaginavo io! Io solo quei dati tratto. Comunque …Un cosulente è venuto nella mia azienda, mi ha fatto un preventivo. In pratica dovrò effettuare un corso online con test finale ed attestato da stampare ed allegare a tutta la documentazione che poi dovrà essere inviata ai clienti e fornitori, Costo : 380€ + Iva, è congruo? Ultima domanda, ma quindi tutti, ma proprio tutti dovranno fare questo corso? Comprese panetterie, ferramente, gelaterie….ecc..
Sono d’accordo che un corso può aiutare a conoscere la normativa e le cose da fare e male sicuramente non fa.
Ma, da lì a dire che un corso on-line generalizzato, che non parta da un’analisi dei singoli trattamenti di un’azienda e non entri nel merito almeno di come si proteggono i dati possa già di per se essere sufficiente a ritenersi “GDPR Compliance” mi sembra veramente poco.
L’esempio della Ferramenta, della Gelateria o del piccolo esercizio non è sempre calzante, in quanto se questi attuano per esempio un programma di “Fidelity Card” e raccolgono dati personali con abitudini d’acquisto rientrano in particolari categorie di trattamento.
Purtroppo il GDPR,come tutti quegli adempimenti che obbligano tutti a fare qualcosa, si presta facilmente a semplifici espedienti per fare business puntando sull’inesperienza e sull’ignoranza.
Marco voglio approfittarne per far una semplice domanda.
Il fatto che le comunicazioni esterne verso i clienti riportino il nostro nome e cognome è da considerarsi un data breach?
Ciao Valerio,
innanzitutto chiariamo il concetto di DATO PERSONALE: possiamo considerare dato personale qualsiasi dato o insieme di dati che inequivocabilmente possa ricondurre ad una persona fisica, quindi nome e cognome è da considerare dato personale, omonimie a parte.
Poi chiariamo il concetto di DATA BREACH: siamo in presenza di Data Breach quando vengono violate le condizioni di Riservatezza, Integrità e Disponibilità di dati personali.
Nel tuo caso, una semplice comunicazione ad un Cliente/fornitore, se interpreto bene la tua domanda, è un trattamento di dati personali che ricade nel GDPR ma, se non c’è una violazione di almeno una delle tre condizioni di cui sopra, come ad esempio un invio mail ad un indirizzo sbagliato (violazione della riservatezza), NON siamo in presenza di DATA BREACH.
Saluti, Marco
Grazie Marco per la celere risposta! Giusto, va bene, ne sono consapevole,ma onestamente mi hanno chiesto 600€ euro per tale adeguamento. Mi sembra eccessivo. Non credi? Dario
Non entro nel merito Dario, può essere tanto o poco. Il GDPR può essere fatto con quattro documenti in croce o con attività molto più articolate come una RISK ASSESSMENT che richiede tempo. Dipende se lo fai solo per ridurre un po’ il rischio di sanzioni o per una reale protezione dei tuoi dati a 360°. Non vorrei essere ripetitivo ma ho troppi pochi elementi per giudicare.
Siamo una Snc, due soci, senza dipendenti, niente siti online e niente server esterni, Solo 15 fatture al mese. In che misura dobbiamo adeguarci, se, dobbiamo adeguarci. Grazie.Dario
Ciao Dario, detta così non è facile rispondere sommariamente.
Dipende se e in che misura trattate dati personali e che tipo di dati trattate.
Basta anche un database clienti sul proprio pc o nello smartphone per ricadere negli obblighi del GDPR.
Salvo Marco, volevo complimentarmi con te… il post è molto preciso e comunicativo anche per quelle imprese che sono meno addentro alla tematica privacy e cybersecurity. Sono molto “proud” che tu sia con noi il 7 marzo a Lugo per una imperdibile pillola formativa
Grazie Nevio, è sempre un piacere essere invitato come relatore ai vostri eventi CNA. Sempre orientati ad “informare” e “formare” più che a pubblicizzare, oltretutto supportati da un’ottima organizzazione..e qui menzione speciale per te ;-)
Negli ultini giorni ho incontrato colleghi e professionisti che non hannonla minima idea e notizia di qs legge !!!
Ma è possibile ?
Tutto quello che viene percepito come disposizione normativa o adempimento obbligatorio che apparentemente non porta vantaggi all’azienda, viene volutamente ignorato o passa in secondo piano, anche perché da tempo è partito il tam tam sul #GDPR sul Web e da parte delle Associazioni di Categoria.
Quello che manca ancora è una vera e propria cultura della sicurezza, che speriamo di colmare con questo Regolamento.
Trovo l’articolo interessante e chiaro ! Massimo Lucioli
Grazie Massimo, mi fa molto piacere detto da te!