Il GDPR o RGPD, il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), è la più grande revisione di sempre delle leggi sulla protezione dei dati e sostituisce le leggi precedenti in materia di privacy e protezione dei dati personali.
Il GDPR è un grande salto in termini di processo, responsabilità e sanzioni per non conformità con i suoi principi - ma non è un complesso groviglio di legislazioni.
Fondamentalmente, il GDPR semplifica nettamente il modo in cui tutti gestiamo i dati personali di dipendenti, clienti, fornitori, partner, membri, abbonati, studenti e pazienti. Invece di aggiungere la protezione dei dati ai processi di gestione, la protezione diventerà parte integrante del processo di gestione di tali dati.
I dettagli del GDPR sono ben documentati. Ma perché è stato creato?
Ogni giurisdizione in tutto il mondo ha opinioni e leggi diverse per il mantenimento della privacy e la gestione dei dati personali.
In pratica ciò significa che non esistono standard comuni in un mondo incentrato sui dati senza frontiere digitali.
Il GDPR fornisce ora una serie di e regola le modalità di utilizzo e protezione dei dati personali.
È importante sottolineare che si applica a con sede nell'UE e anche a quelle con sede al di fuori dell'UE che offrono beni o servizi ai cittadini dell'UE.
Il traffico e il commercio digitale sono così globalizzati ed il GDPR è, a tutti gli effetti, il primo standard mondiale sulla privacy personale.
Cosa significano queste regole e aspettative comuni nel mondo reale?
L'implementazione efficace del GDPR rafforza la fiducia tra la tua organizzazione e il tuo pubblico.
Sarai in grado di dimostrare che ti prendi cura dei dati personali, che non li raccoglierai o li utilizzerai in modo inappropriato o senza autorizzazione.
Se necessario li fornirai e restituirai al proprietario, se richiesto, e li eliminerai quando non saranno più necessari.
Il GDPR è quindi positivo per le aziende: migliorerà la reputazione del marchio e la fiducia, aspetti vitali per un buon servizio ai clienti.
Tuttavia, non si tratta solo di modificare i processi di gestione dei dati personali, ma anche di come il GDPR modifica il modo in cui visualizziamo i dati personali. La realtà è che il GDPR ci rende tutti custodi dei dati ora, non solo i proprietari dei dati. Le nostre nuove responsabilità sono verso i veri proprietari dei dati personali - le persone stesse. Si tratta di un cambiamento enorme e fondamentale sia in prospettiva che in termini di coinvolgimento dei clienti, che rafforza seriamente il ruolo che un'etica sana gioca alla base delle buone pratiche commerciali.
Innanzitutto, .
Come un buon caffè, una conformità di successo è una miscela equilibrata di elementi complementari che lavorano in armonia. In questo caso, sono le persone, la tecnologia, i processi di gestione dei dati personali, la sicurezza e la propria cultura lavorativa.
Rispetto alla precedente legge sulla privacy, il GDPR è un salto enorme perché supera il concetto del mero adempimento cartaceo forzando analisi e riflessioni sull’attuale modo di gestione e protezione dei dati personali. Un grande cambiamento di vedute per l’Italia.
È facile essere spaventati da commenti iperbolici, consigli contrastanti e la frenesia generale che circonda il GDPR. Le multe! Scadenze! Crittografia! Consenso!
Il nostro consiglio: rilassatevi e sfruttate l'opportunità per rivalutare cosa significano strategicamente i dati personali per la vostra organizzazione.
Ponetevi queste domande:
Perché sto raccogliendo dati personali? È semplicemente per dipendenti, come buste paga, risorse umane e contratti di lavoro?
Oppure stai anche raccogliendo, controllando e gestendo clienti, vendite, marketing, abbonati o altri tipo di informazioni relative a clienti o fornitori?
La chiave qui è garantire che ciò che conservi sia abbastanza dettagliato da coprire ciò che devi sapere ma sufficientemente minimale per essere maneggevole, chiaro e standardizzato.
Quali dati personali sono in mio possesso?
Questa è la domanda "killer" che spesso genera imbarazzo. "Non ne sono sicuro!".
L'archiviazione dei dati (in particolare in moduli software meno strutturati) può spesso assomigliare al pavimento della camera da letto di un adolescente.
Si possono lasciare quei calzini sporchi nell'angolo ma arriverà il tempo di una ispezione della stanza. Ora è l'occasione perfetta per localizzare, classificare, pulire e standardizzare quei dati.
Dove si trovano i dati?
Sono memorizzati centralmente sulla tua rete? Risiedono su unità locali, sistemi home office o dispositivi di lavoro personali? Quanto è duplicato e/o obsoleto?
Ci sono copie cartacee dei dati accessibili a chiunque?
Chi ha accesso ai dati? Quali sono i livelli di autorizzazione, consenso e protezione? Chi è responsabile della sua accuratezza e applicazione delle regole?
Pensa al GDPR come al tuo manifesto sulla privacy.
Cosa significa in realtà la vita ai sensi del GDPR? È il tuo atteggiamento nei confronti della privacy dei dati, appunto un manifesto.
Ecco un esempio:
Come organizzazione, comprendiamo e possiamo dimostrare quali dati personali stiamo elaborando e archiviando, chi altri lo sta facendo per nostro conto, perché li stiamo trattenendo e
come li stiamo usando.
A meno che non abbiamo una ragione o un requisito legittimo per l'elaborazione dei tuoi dati, come definito dalla legge, chiederemo il tuo consenso prima di farlo.
Puoi revocare il tuo consenso in qualsiasi momento.
Riconosciamo che i dati in nostro possesso appartengono a te, quindi ci prenderemo cura di proteggerli da accessi non autorizzati.
Tuttavia, qualora dovesse verificarsi il peggio e ci fosse una violazione dei dati, saremo pronti ed in grado di condividere i dettagli in modo responsabile e tempestivo.
Adotteremo misure speciali per proteggere i dati relativi ai minori o particolari categorie di dati personali che potrebbero influire sui tuoi diritti e le libertà fondamentali, ad esempio
laddove tali dati potrebbero metterti a rischio di discriminazione illecita.
Come individuo, hai molti diritti relativamente ai tuoi dati.
Puoi chiedere una copia dei tuoi dati personali, chiederne l'eliminazione - cosa che faremo se non è necessario per noi conservarli - e richiedere la correzione di eventuali errori
nei tuoi dati personali.
Laddove stiamo prendendo una decisione automatizzata o eseguendo la profilazione in base ai tuoi dati personali, chiederemo il tuo consenso se non è necessario per i nostri obblighi legali o a
seguito di un contratto che abbiamo con te. Laddove eseguiamo questo tipo di elaborazione automatizzata, forniremo l'opzione di una revisione manuale delle eventuali decisioni.
Quando leggi questo manifesto - o una versione simile che riflette accuratamente il modo in cui lavora la tua organizzazione - puoi essere fiducioso.
Consiglio: scrivi quel manifesto sulla privacy, poi lascia che sia la tua guida e il tuo promemoria.
È possibile che i dati personali vengano conservati in diversi modi, ad esempio fogli di calcolo, account Dropbox, Google drive, cartelle e-mail o in un database sicuro o in una applicazione aziendale. Come accennato in precedenza, tutto potrebbe iniziare con un archivio dati (database) ben strutturato ma finirà per essere esportato in un foglio di calcolo, combinato con altri dati, inviato via e-mail a un fornitore e così via. Come procedere: identifica quali sono i dati e assicurati di essere confidente che questi metodi di archiviazione e il modo in cui li proteggi non espongano l'interessato e la tua organizzazione a livelli di rischio scomodi.
È utile segnalare nell’ambito che strumenti gratuiti come Dropbox e Google drive non sono conformi al GDPR perché gli stessi produttori non ne garantiscono la sicurezza contro perdite di dati o alterazioni. Se utilizzi questo tipo di strumenti è necessario passare ad una versione professionale che garantisce copie di sicurezza e maggiore protezione.
Esistono messaggi confusi sul consenso e sui dati personali. La verità è che il GDPR non richiede il consenso generale e obbligatorio per il trattamento dei dati personali: il consenso è necessario solo per quelle occasioni in cui non si dispone di una base legale per conservare i dati (ad esempio un contratto di servizio) o se gli standard dicono che è necessario perché sussiste una necessità legale.
Nei seguenti casi, ad esempio, non è necessario fare ricorso al consenso:
Se una legge richiede di elaborare dati personali (ad esempio la registrazione di incidenti ai sensi della legge sulla salute e la sicurezza)
Hai un contratto che non saresti in grado di adempiere senza elaborare dati personali
La persona ti ha chiesto di prendere delle misure per stipulare un contratto (come richiedere un preventivo per il servizio a banda larga) che comporta l'elaborazione di questi dati
Hai un interesse legittimo nel trattamento dei dati che non è in conflitto con i diritti dell'individuo. Tuttavia, è opportuno fare attenzione a non fare affidamento sull'argomento dell'interesse legittimo in quanto ci si può aspettare che le autorità si schierino con il proprietario dei dati in caso di dubbio. Dovresti utilizzare questa posizione solo se puoi dimostrare che non interferisce con i diritti dell'individuo e che sarebbe altrimenti impraticabile ottenerne il consenso.
Il controllo dei record di dati è un lavoro forense e maggiore è il numero di dati personali in tuo possesso, più diventa un lavoro che richiede tempo e potenzialmente costoso, soprattutto se il tipo e la posizione di tali dati sono inaffidabili, incoerenti o nel caso peggiore, sconosciuti. La chiave in questo caso è ricorrere alla conoscenza di quali dati hai e dove risiedono, implementando la giusta leva tecnologica. GDPR book aiuta in tal senso esponendo una documentazione di facile comprensione sul tipo di dato e sulla superficie di memorizzazione. Potrai accedere alla tua “vista panoramica” sui dati in ogni momento.
Questa è la chiave per sbloccare l’accesso al GDPR: sapere cosa hai e dove risiede.
GDPRbook.eu utilizza cookie di terze parti descritti nell’informativa cookie completa.
Per maggiori informazioni, anche in ordine alla disattivazione, è possibile consultare l'informativa cookie completa.