52018Apr

Facciamo ulteriore chiarezza sul GDPR, cercando di capire come funziona, come impatterà e come ci si può adeguare. 

Da qualche mese si sente sempre più parlare del GDPR, l'acronimo che sta incutendo timore e panico tra coloro che vogliono capire come gestire la privacy dei propri utenti, e ci si chiede cosa cambierà con l'entrata in vigore del General Data Protection Regulation

 Dal 25 maggio il GDPR sostituirà l'attuale direttiva sulla protezione dei dati. Dovremo dunque modificare l'informativa privacy. 

Il regolamento dà nuovi diritti alle persone e ha introdotto sanzioni piuttosto elevate

GDPR per liberi professionisti e PMI: cosa fare per adeguarsi

Cosa comporta l'introduzione del GDPR?

Il primo importante cambiamento riguarda l'estensione del Regolamento. Il GDPR sarà applicato a tutti gli stati dell'Unione Europea. Tutte le aziende che trattano i dati all'interno dell'Europa saranno coinvolti

Il GDPR coinvolge tutti coloro che trattano dati, ovvero tutte le aziende che maneggiano dati di persone fisiche. 

Il GDPR si fonda su un principio di trasparenza. Ciò implica che i dati devono essere trattati in maniera sicura e che abbiano una finalità del trattamento condivisa con l'interessato. 

IL GDPR ci porta verso un mondo più moderno: il regolamento ti impone di guardare alla tua realtà, ai dati che gestisci e di decidere le misure di cybersecurity da applicare. E' dunque un approccio più corretto e ampio. Non si parla più solo di privacy ma di "data protection", ovvero di protezione delle informazioni che ci riguardano come cittadini. 

Quali sono i diritti delle persone fisiche?

Il regolamento introduce importanti novità. Si dedica un ampio spazio ai "diritti degli interessati", ovvero dei diritti che i cittadini possono esercitare nei confronti di chi gestisce le informazioni che ci riguardano. Ad esempio la persona fisica può chiedere quali informazioni l'azienda possiede e fare richiesta di modifica o cancellazione. 

Le persone fisiche hanno il diritto di ricevere una copia dei loro dati. Inoltre possono richiedere la cancellazione dei dati, che deve essere effettuata in modo tempestivo. Possono poi opporsi al trattamento. 

Con il GDPR viene introdotto il diritto alla portabilità dei dati. La persona fisica può scegliere chi deve essere il titolare dei dati, chiedendo così che i dati vengano eliminati da una azienda per essere conferiti ad un'altra. Perciò l'utente può chiedere di avere i propri dati in un determinato formato affinchè possa trasferirli verso una nuova azienda. 

Se l'utente nota delle irregolarità può rivolgersi direttamente alle autorità di controllo. 

L'informativa privacy: come cambia con il GDPR?

L'informativa privacy deve essere chiara e sintetica

Un'importante modifica riguarda l'esplicitazione della finalità del consenso ottenuto: l'azienda deve specificare l'ottenimento del consenso e per che cosa è stato ottenuto tale consenso.

L'informativa privacy deve ora anche indicare la durata del trattamento dei dati: bisogna indicare per quanto tempo l'azienda utilizzerà i dati. Nel nostro caso forniamo assistenza sistemistica, realizzazione di siti internet, etc. Noi dovremo trattare i dati del cliente per la durata dell'assistenza informatica o del progetto di realizzazione del sito web ma anche per il periodo dei cinque anni successivi all'emissione della fattura. 

Se hai un sito internet dove il cliente può lasciare i propri dati per ricevere delle informazioni, comunicazioni e iniziative, l'informativa privacy deve essere messa sul sito internet affinchè l'utente, prima di inviarti i propri dati, ti dia il consenso al trattamento.

Il GDPR modifica il consenso del trattamento dei dati

Il consenso deve essere informato, esplicito, specifico, libero, revocabile e documentato per iscritto.

Come si traducono nella realtà queste disposizioni?

Un primo cambiamento è che non si potranno più flaggare dei consensi multipli. Ogni singolo trattamento dovrà avere un consenso specifico. Dovrò dunque ad esempio ottenere un consenso mirato per l'invio della newsletter e comunicazioni commerciali.

Ovviamente non si deve ottenere alcun consenso per il trattamento dei dati per legittimo interesse. Ad esempio se si deve comunicare con i dipendenti o i fornitori si può procedere tranquillamente, senza necessità di previo consenso. 

Il GDPR per i liberi professionisti

Se il libero professionista raccoglie e tratta i dati personali per finalità connesse al tuo servizio, deve rispondere ai requisiti del GDPR.

IL GDPR riguarda i dati personali. Anche il nome e cognome sono dei dati personali, così come il codice fiscale, l'IBAN, l'email, l'indirizzo internet del computer...sono tutti dati personali che devono essere gestiti nella maniera corretta. Per questo il GDPR coinvolge la quasi totalità delle attività, dal piccolo negoziante (estetista, ottico, meccanico, etc) agli studi professionali (avvocati, commercialisti, architetti, consulenti del lavoro e altro), alle grandi imprese. 

Fondamentalmente non ci sono differenze o specifiche per i liberi professionisti rispetto alle PMI. 

Anche il Libero Professionista deve assicurarsi che i dati delle persone fisiche siano sempre protetti. A tal fine si devono utilizzare dei sistemi di firewall e antivirus affinchè i dati non vengano sottratti. Si deve fare un backup periodico e costante affinchè i dati non vengano persi e usare dei sistemi di encryption per la crittografia dei dati. 

L'informativa privacy deve essere adeguata. 

Come le aziende, anche i liberi professionisti devono dare la possibilità alle persone fisiche di accedere ai loro dati e richiederne la cancellazione. 

L'unica differenza rispetto ad alcune tipologie di aziende è la non necessità di avere un DPO (Data Protection Officer) che si occupi della sicurezza e del trattamento dei dati. 

Cosa fare per adeguarsi al GDPR?

Le micro e piccole imprese italiane faranno un po' di fatica a seguire tutto ciò che è richiesto da questo regolamento. Ci si può prerarare al GDPR segueno 4 step

I passaggi basici per adeguarsi al GDPR sono:  

  • check
    rivedere l'informativa privacy, sia quella cartacea sia quella disponibile online
  • check
    verificare le modalità con cui richiediamo il consenso
  • check
    controllare come sono stati acquisiti i dati in proprio possesso
  • check
    adottare delle misure di sicurezza adeguate, assicurandomi che i dati non vengano nè sottratti nè danneggiati

La soluzione di ALYFA.net per adeguarsi al GDPR

Il primo passo sarà dunque identificare in azienda dove si trovano i dati personali trattati. Esempio pc, server, posta elettronica, dispositivi di backup, dispositivi usb come chiavette, e su che tipo di file word, excel, pdf, database e anche cartacei.


Una volta fatto bisognerà riorganizzarli e adottare misure di sicurezza che li rendano protetti.
Infine bisogna occuparsi dell’accessibilità: sarà necessario renderli sicure sia per la gestione interna che da quella esterna, al fine di evitare esfiltrazioni, altro punto nuovo e dolente della normativa.
 

Per adeguarsi al GDPR adottiamo procediamo su un duplice livello: "aspetto documentale" e "aspetto IT". 

Per quanto riguarda l'"aspetto documentale" ci occupiamo dei seguenti elementi:

  • Adeguamento di consenso, informativa e clausole contrattuali;
  • Nomina dei responsabili del trattamento, degli addetti del trattamento;

Seppur non obbligatori per aziende inferiori a 250 dipendenti sarà utile esaminare e redigere i seguenti documenti per rispondere in modo appropriato all’articolo espresso nel regolamento relativo alla privacy by design.

  • Predisposizione Analisi dei rischi ed eventuale documento impatto privacy;
  • Predisposizione del registro dei trattamenti o documento analogo;
  • Predisposizione dei sistemi di comunicazione per l’esercizio dei diritti;
  • Formazione (presso azienda o streaming) del personale aziendale coinvolto.


Per quanto riguarda l'"aspetto IT" ci occupiamo dei seguenti elementi:

GDPR: la soluzione per liberi professionisti e PMI


Se il tuo Studio Professionale o la tua azienda non si è ancora adeguata al GDPR totalmente o parzialmente, contattaci! Analizzeremo la tua situazione e sapremo fornirti gli strumenti utili e necessari per essere in linea con la normativa.

Tutti si stanno muovendo sul fronte del GDPR. E si vedranno costanti miglioramenti. Non è qualcosa di one-shot, ma va gestito, mantenuto e adeguato nel corso del tempo. I continui aggiornamenti e miglioramenti porteranno a buoni livelli di tutela dei cittadini. 

Per avere maggiori informazioni e il preventivo ecco i nostri contatti: