In questo periodo non si parla altro che di GDPR e di Privacy, in alcuni casi anche con un po’ di confusione.
Di seguito ti riporto una serie di domande a cui ho cercato una risposta, mi sono servite per capire meglio il nuovo regolamento.
Inoltre al fondo troverai anche cosa sta facendo IDEA Software per l’adeguamento di Gestione CRI alla norma.
Incominciamo dal nome: NUOVO REGOLAMENTO EUROPEO GDPR UE 679/2016.
Eh sì!, REGOLAMENTO, questo perché, alla data odierna, mancano ancora le norme di coordinamento con l’attuale codice sulla privacy, in pratica il nostro Governo ci dovrà dire, cosa conservare e cosa no dell’attuale codice sulla Privacy e come il nuovo GDPR si integra. Nel frattempo convivranno entrambi.
COSA RIGUARDA?
Il trattamento dei dati personali delle persone fisiche.
L’applicazione territoriale.
COSA SI INTENDE PER TRATTAMENTO?
Insieme di operazioni che si possono compiere con o senza l’ausilio di computer e per tutto il ciclo di vita del dato, dalla raccolta, alla registrazione, l’organizzazione fino alla loro consultazione. Già, il solo consultare i dati è da considerarsi trattamento.
COSA SI INTENDE PER DATO PERSONALE?
Qualsiasi informazione riguardante una persona fisica (in carne e ossa) come il nome, l’indirizzo, il numero di cellulare, l’email, ecc..
DOVE SI APPLICA QUESTO REGOLAMENTO?
La norma si applica a tutta l’Unione Europea.
COSA NON RIGUARDA?
I dati anonimizzati: quelle informazioni che non sono riconducibili alla persona e utilizzati ai soli fini statistici.
I dati trattati da persone fisiche per uso personale e domestico. Ad esempio, i dati dei miei amici memorizzati sull’agenda personale.
QUALI SONO LE FIGURE PROFESSIONALI COINVOLTE?
Il Titolare: chi individua i modi e i mezzi per il trattamento dei dati personali. Può essere un’azienda, una persona fisica, un’autorità pubblica, un servizio o altro organismo (es. IDEA Software).
Responsabile e Incaricato: nominati dal Titolare e trattano i dati per conto del Titolare stesso (es. Dipendente).
Responsabile Esterno: fornitori che accedono alla nostra sede e possono venire a contatto con i dati trattati (es. impresa di pulizia).
Responsabile della protezione dei dati: comunemente chiamato DPO, informa il Titolare o il Responsabile sugli obblighi derivanti dal regolamento; verifica l’attuazione della normativa e formazione del personale; funge da contatto con l’autorità di controllo. E’ obbligatorio per la Pubblica Amministrazione e per quelli che trattano dati in larga scala e/o sensibili. In tutti gli altri casi, il regolamento “consiglia” di nominarlo.
QUAL È LA MODALITÀ DI TRATTAMENTO DEI DATI?
Premesso che il Titolare ha il compito di istruire gli autorizzati al trattamento su come accedere e trattare i dati personali.
I dati devono essere veritieri, aggiornati, pertinenti e limitati a quanto necessario rispetto alle finalità.
Ad esempio, il supermercato che ci chiede il codice fiscale per l’emissione della tessera fedeltà, è un uso spropositato rispetto alla finalità (statistica), possiamo rifiutarci di comunicarlo. Allo stesso modo, loro si possono rifiutare di emettere la tessera in mancanza del nostro codice fiscale.
COS’È IL PRINCIPIO DI “ACCOUNTABILITY”?
E’ il principio di responsabilità del Titolare del trattamento che è tenuto a mettere in atto misure tecniche organizzative adeguate per garantire e per dimostrare l’applicazione del regolamento.
In pratica nel regolamento non troviamo le regole per trattare i dati ma le linee guida che possiamo seguire. Il Titolare deve decide in maniera autonoma come trattarli e dovrà essere sempre lui a dimostrare di aver fatto il possibile per tutelarli.
COS’È IL PRINCIPIO PRIVACY “BY DESIGN”?
Prendere in considerazione adeguate misure tecniche e organizzative sin dall’atto della progettazione.
In pratica, prima di raccogliere i dati occorre già pensare il modo migliore per trattarli.
COS’È IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO?
E’ una fotografia della realtà aziendale. Troviamo i riferimenti del Titolare, Responsabile del trattamento e del DPO (dove previsto), le finalità, le categorie degli interessati, i responsabili esterni e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate per tutelare i dati.
COS’È IL DATA BREACH?
E’ l’intrusione, da parte di qualche male intenzionato, nei nostri sistemi. I dati personali conservati o trattati possono essere persi, distrutti o diffusi indebitamente, ad esempio a seguito di attacchi informatici. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Nel caso si verifichi una violazione dei dati trattati, occorre dare immediatamente comunicazione (entro le 72 ore) all’autorità e, in alcuni casi, ai soggetti interessati.
COSA STA FACENDO IDEA SOFTWARE PER L’ADEGUAMENTO?
IDEA Software, in considerazione dei volumi e della natura dei dati sensibili trattati, ha contestualmente adottato la figura del DPO esterno, la quale sta lavorando alla stesura del nuovo manuale operativo.
Per quanto riguarda Gestione CRI stiamo sviluppando le ultime modifiche per l’adeguamento del sistema al nuovo regolamento.
Tra le modifiche, abbiamo deciso di aggiungere un parametro che limiti all’utente il periodo di visualizzazione dei fogli di viaggio. In questo modo, se compilato, l’utente al centralino non potrà visualizzare i fogli di viaggio più vecchi del numero di giorni impostati. Ad esempio, impostando 1gg, l’utente potrà vedere nell’elenco solo i fogli di viaggio del giorno corrente.
Ulteriori informazioni le puoi trovare sul sito del Garante http://www.garanteprivacy.it/
