L’entrata in vigore del nuovo GDPR Codice Europeo della Privacy porta molti cambiamenti all’interno delle aziende nel trattamento dei dati personali eccone alcuni
La novità..
Introduzione del diritto all’oblio con il quale gli interessati potranno ottenere la cancellazione dei propri dati personali anche online da parte del titolare del trattamento.
Cosa significa..
Questo significa che chiunque tratti dati per utilizzarli pubblicamente in rete deve predisporre una modalità di cancellazione dei dati e dei link agli stessi per concedere il diritto all’oblio agli interessati.
La novità..
Introduzione dell’obbligo della redazione del Privacy Impact Assessment (documento di valutazione d’impatto nel trattamento dei dati)
.
Cosa significa..
In tale documento occorre considerare quali dati verranno trattati, quali sono i rischi concreti derivanti dall’utilizzo di tali dati e quali cautele possono essere messe in atto per prevenire e risolvere tali criticità. Il documento comprende una lista di potenziali rischi o criticità e un programma per la loro gestione e risoluzione. Questo significa la reintroduzione di un documento analitico che riassuma chiaramente tutti gli adempimenti del GDPR.
La novità..
E’ cambiata, in senso più ampio, la definizione di dato personale in “Qualsiasi informazione che identifichi o che permetta di identificare una persona fisica a cui ci si riferirà in seguito come “soggetto dei dati”; una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante un numero identificativo o da uno o più fattori specifici relativi alla sua identità fisica, psicologica, mentale, economica, culturale o sociale”.
Cosa significa..
Questo significa che il dato personale sarà un dato comprendente molte più caratteristiche identificative e dovrà essere trattato seguendo le regole del GDPR.
La novità.
Cosa significa..
Questo significa essere pronti ad assumersi la responsabilità di vigilare e comunicare.
La novità..
Privacy by design e by default. Garantire la protezione dei dati nei prodotti e nei servizi già dalle prime fasi del loro sviluppo, avendo già dei modelli di riferimento e variandoli di volta in volta a seconda del tipo di trattamento.
Cosa significa..
Questo significa che il tracciamento del dato, le misure minime di sicurezza e le analisi dei rischi non dovranno essere fatte per l’azienda in generale ma per ogni trattamento di ogni banca dati.
La novità..
Introduzione del diritto alla portabilità dei propri dati personali per trasferirli da un titolare del trattamento ad un altro.
Cosa significa..
Ad esempio le compagnie telefoniche dovranno provvedere alle automatizzazioni necessarie per trasferire i dati da un provider all’altro senza dover nuovamente fornire tutti nostri dati.
La novità..
Le decisioni che producono effetti giuridici (come, la concessione di un prestito), non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione).
Cosa significa..
Questo significa che per certi tipi di dati non potranno più essere considerati validi ad esempio i form di auto compilazione per la raccolta degli stessi ma sarà necessario il rapporto fisico tra cliente e fornitore di servizio.
La novità..
Introduzione della crittografia o dei sistemi ad impronta digitale.
Cosa significa..
Questo per evitare che i dati possano entrare in possesso di persone non autorizzate.
La novità.
Introduzione del DPO che deve essere una figura con competenze informatiche, che conosca il regolamento europeo e che non sia in conflitto d’interesse all’interno dell’azienda (ad esempio non può fare il DPO chi è già responsabile dell’ICT)..
Cosa significa..
Può essere un libero professionista o un dipendente interno o esterno all’azienda. Il suo compito è quello di osservare, valutare e gestire il trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
La novità..
Pseudonomizzazione, il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisca l’identificazione dell’utente.
Cosa significa..
Questo significa l’utilizzo di codici identificativi che non abbiano apparentemente nessun legame con l’interessato.
L'AZIENDA DEVE AVERE LE SEGUENTI CARATTERISTICHE
Conoscenza dei dati che vengono utilizzati all’interno dell’azienda Che tipo di dato é: personale, sensibile, relativo al cliente o al dipendente e la sua posizione e su quale device Il suo utilizzo: per quale scopo, per quanto tempo, da chi, in quali applicazioni La sicurezza: da adottare, le giuste precauziuoni per proteggere i dati da un uso non autorizzato Il modo in cui è raccolto: consentito dalla legge o con il consenso del soggetto fornendo informazioni sul suo utilizzo e sui diritti del soggetto in relazione ai suoi dati La capacità di gestire i dati personali in modo conforme alla normativa
Fornire su richiesta dell’interessato i dati memorizzati, comprese le informazioni sul loro utilizzo in modo conciso Cancellare su richiesta dell’interessato i suoi dati in conformità al diritto all’oblio Memorizzazione o conversione di dati in un formato che consente la poratbilità ad alte piattaforme Controlli interni efficaci e mitigazione dei rischi Pianificazione di nuovi processi, applicazioni e tecnologie che incorporano i requisiti del GDPR Istruzioni chiare come reagire a una violazione della sicurezza dei dati personali
Powered by Passepartout
Designed by Gestionale Toscana
Designed by Gestionale Toscana